【asp源码栏目提醒】:网学会员为广大网友收集整理了,Asp木马漏洞安全防范策略 - 技术总结,希望对大家有所帮助!
第28卷第1期河北理工学院学报Vol28No12006年2月JournalofHebeiInstituteofTechnologyFeb.2006文章编号:10072829200601006404
Asp木马漏洞安全防范策略陈小兵于滨北京航空航天大学软件学院北京100083关键词:
Asp木马漏洞安全防范策略摘要:利用
Asp木马漏洞技术是目前入侵网站的主流技术之一该技术主要利用
Asp脚本来执行cmd.exe命令从而达到控制操作系统的目的。
一旦入侵者在所攻克的网站中植入了
Asp木马后则可以使用
常用的DOS命令来对系统文件进行删除、复制等操作给该系统带来巨大的安全隐患。
通过对目前主流的
Asp木马核心技术的分析然后给出了
Asp木马漏洞安全防范的一般性策略。
中图分类号:TP393.08文献标识码:A1
Asp木马核心技术分析
Asp木马技术目前主要有两种一种是利用FSO技术另外一种利用Application.shell脚本技术。
FSO是对FilesystemObject的简称IIS4以及后续版本中的
Asp的文件操作都可以通过FileSystemObject实现包括文本文件的读写目录操作、文件的拷贝改名删除等。
FileSystemObject带来方便的同时也具有非常大的风险性利用FileSystemObject可以篡改并下载Fat以及FAT32分区上的任何文件即使是ntfs如果没有对权限进行很好的设置同样也能遭到破坏。
1.1使用FSO技术的
asp木马利用FSO技术的
asp木马程序的算法:1从
asp页面获取输入的Dos命令。
2创建WSCPIPT.SHELL、WSCRIPT.NETWORK和Scripting.FileSystemObject三个脚本对象。
3执行DOS命令解释器并执行所输入的DOS命令并将DOS命令所执行结果输出到一个临时文件。
4打开临时文件并将其结果回显在网页上最后删除临时文件。
其核心代码如下:SetoScriptServer.CreateObjectWSCRIPT.SHELLSetoScriptNetServer.CreateObjectWSCRIPT.
NETWORKSetoFileSysServer.CreateObjectScripting.FileSystemObjectszCMDReques.tForm.CMDIfszCMDThenszTempFileC:/oFileSys.GegtTempNameCalloScrip.tRuncmd.exe/cszCMDszTempFile0Ture使用Run方法创建一个新的进程隐藏窗口并激活另一窗口返回由应用程序返回的任何错误代码。
SetoFileoFileSys.OpenTextFileszTempFile1False0打开临时文件azTempFileEndIf收稿日期:20050320作者简介:陈小兵男北京航空航天大学软件学院硕士生。
IfIsObjectoFileThenResponse.WriteServer.
HTMLEncodeoFile.ReadAll在网页上输出命令执行的结果oFile.CloseCalloFileSys.DeleteFileszTempFileTrue删除临时文件szTempFileEndIf1.2非FSO技术的
asp木马不使用FSO技术的
ASP木马是创建一个Shel.lApplication对象然后通过shel.lnamespace来对创建的对象进行操作。
通过使用该种方法虽然不能执行net、del以及netstat等命令但是它可以复制、浏览、移动文件夹以及执行系统中存在的特定程序。
不过在每执行一次应用程序时都会打开一个进程而且可能会报错通过任务控制器可以查看其打开的进程。
其核心代码如下:szCMD1Reques.tFormtext1目录拷贝不能进行文件拷贝szCMD2Reques.tFormtext2ifszcmd1andszcmd2thensetshell1server.createobjectshel.lapplication建立shell对象setfod1shell1.nemepaceszcmd2forilenszcmd1to1step-1ifmidszcmd1i1thenpathleftszcmd1i-1exitforendifnextiflenpath2thenpathpathpath2rightszcmd1lenszcmd1-isetfod2shell1.namespacepathsetfoditemfod2.parsenamepath2fod.lcopyherefoditemendifszCMD5Reques.tFormtext5执行程序到指定路径szCMD6Reques.tFormtext6ifszcmd5andszcmd6thensetshe113server.createobjectshel.lapplication建立shell对象she113.namespaceszcmd5.items.itemszcmd6.invokeverbendif2
asp木马防毒技术在攻克主机植入
asp木马后为了保护好自己的战利品防止系统管理员发现黑客一般情况下都会对
asp木马进行保护往往通过加密、更改时间以及使用特殊字符等手段来逃过被杀毒软件的查出和避免系统管理员的发现。
2.1利用软件对
asp源代码加密目前有很多
软件可以对
asp源代码进行加密例如
asp木马免杀工具2.0等。
其原理是采用一定的算法将源代码或者
源代码中的关键字进行某种转换经过转换后源代码已经变为乱码或者显示为特定的字符形65第1期陈小兵等:
Asp木马漏洞安全防范策略式。
2.2修改
asP木马文件的时间
asp木马上传到服务器后即使非常隐蔽但是其文件修改时间的变化在正常文件中也很容易被发现因此通过修改木马源程序文件的修改时间跟在服务器上的正常文件的时间一致来保护在网站所植入的木马程序。
2.3利用特殊字符??来保护
asp木马Windows在设计时已经考虑到不能使用??来作为文件及其文件夹的名字但是在使用cmd.exe命令来创建文件时如果其文件名中包含了??则该文件名中的??将被忽略但是所建立的文件夹还是会成功只是不会显示??且在浏览器中既不能打开也不能够被删除。
利用??字符来保护
asp木马文件的原理为:在IIS设置的目录下创建一个形入a??的文件夹然后将木马文件复制到该文件夹中。
复制成功后可以在浏览其中输入其地址正常运行
asp木马程序而该文件而既不能被删除也不能被打开。
3常见的
asp木马程序和软件3.1海阳顶端网
asp木马在众多的
asp木马中海阳顶端网
asp木马应该是比较成熟的也是用得最多的
asp木马就其版本而言到目前为止已经推出了数个版本。
早期的海阳顶端网
asp木马一般都有数个
asp文件后期的
asp木马把所有的文件都集成到一个文件中了例如xp版和xp-net版集成后的文件大小也就二十多k。
海阳顶端网
asp木马是用
asp脚本语自编写提供在线更改。
编辑、删除仟意文件使用该木马来操作文件就如同在本机上操作文件一样方便。
3.2
asp木马免杀工具2.0
asp木马免杀工具2.0是一款对
asp源代码进行加密的工具大小仅545k。
利用该软可以方便的对
asp木马文件进行加密加密后的文件目前可以躲过瑞星等杀毒软件的查杀。
3.3思易
ASP木马追捕2.0思易
ASP木马追捕2.0主要对文件中是否存在FSO、deletefolder、shel.lapplecatlon、wscript、
xmlhttP、vbscrip.tencode、adodb.stream对象或者使用了其中的某些方法进行检查可以对利用变量创建对象、静态对象以及自定义的关键字等进行
搜索。
不过该程序当对较大文件的检索可能导致IIS停止响应甚至可能导致服务器宕机。
4
ASP木马安全防范策略
Asp木马安全防范策略是建立在操作系统的安全基础上的通过在实践中的应用研究和分析可以采用以下策略来防止和根除
ASp木马。
4.1升级论坛
程序到最新版本许多
asp木马程序都是通过发现论坛程序中的漏洞而将
asp木马程序植入的因此要及时的关注所使用的论坛程序并更新论坛程序打上论坛程序补丁。
4.2尽量不安装插件在网站
设计时如果没有特别的需要尽量避免安装第三方插件。
如果安装了一定要设置好权限并有相应的安全措施。
4.3定期检查网站文件网站或者
系统管理员应定期全面检查网站文件及时发现和排除可疑文件保障系统的安全。
网站正式运行时应当使用一些屏幕捕捉工具软件一次性将文件目录及其文件属性名称、大小、文件类型、修改时间等记录下来并及时备份网站程序便于后期维护时检查网站更新文件的修改时间通过比较修改时间来检查是否有非法用户上传文件从而检查网站是否存在
asp木马。
4.4查找IIS映射文件IIS映射中的大部分文件对于只运行
Asp的站点来说是无用的因此可以根据具体需要将以.cer.66河北理工学院学报第26卷cdx.asa.htr.idc.shtmshtml.stm.printer等为扩展名的文件删除防止入侵者利用IIS漏洞而植入
asp木马。
4.5查找
asp文件中的关键字通过查找
VBScrip.tEncode、Execute、session、海洋、OpenTextFile、稻香、WriteLine、冰点、WSCRIPT、0D43FE01-F093-11CF-8940-00A0C9054228、5xSoft、093FF999-1EA0-4079-9525-9614C3504B74DeleteFile、eval、MoveFile、Scripting.Dictionary、72C24DD5-D70A-438B-8A42-98424B88AFB8、Reques.tBinaryRead、CreateTextFile等关键字查看可疑文件从而进一步查看该可疑文件是否为
asp木马文件。
4.6严格设置上传文件目录及其文件的权限最好将上传文件以及其它目录的可执行权限都设置为无。
4.7删除??特殊字符所命名的文件夹在DOS命令提示符下键入以下命令来删除??特殊字符所命名的文件夹:rmdira//s注意:a??必须为我们使用mkdir创建文件夹a??一致否则就不能删除。
4.8及时升级杀毒软件并定期对系统进行扫描杀毒4.9禁用FSO、WSCRIPT.Shell和Application.Shell可以通过在命令提示符下输入regsvr32.exescrrun.dll/u/s??和regsvr32.exeshell32.dll/u/s??将FileSysemObject组件和shel.lapplication组件彻底卸载掉。
使用这两个组件时只需使用regsvr32.exeshell32.dll/u/s??命令将它们重新安装即可。
也可以在
注册表查找Shel.lApplication以及WSCRIPT.SHELL然后将其更名来禁用WSCRIPT.Shell和Application.She11组件。
4.10启用和审核Web站点日志记录启用和审核Web站点日志记录可以查看入侵者在系统进行了哪些操作。
4.11修改帐号密码如果通过以上等方法在网站中发现木马了处理完毕之后应该将具有管理权限的各类帐号都进行修改。
包括论坛的帐号、数据库帐号以及服务器操作系统帐号、FTP帐号等。
4.12使用工具可以使用微软的UPLScan安全工具、IIS锁定工具、HFNetChk安全工具和基线安全分析器MBSA等来加强系统和IIS的安全。
对于防
ASP木马以上的安全策略只能带来一个相对安全的环境安全永远都是相对的。
操作系统安全是应用程序安全的基础因此要想打造一个相对安全的应用程序的环境需要不断的关注最新安全技术、系统漏洞以及应用程序漏洞技术等。
对于提供
ASP技术服务的站点其细心和责任心是保障一个站点安全的前提和保障。
TheSecurityDefensiveStrategyoftheAspTrojanHorseLeakinessCHENXiao-bingYUBinCollegeofSoftwareofBeijingUniversityofAeronauticsandAstronauticsBeijing100083ChinaKey
words:AspTrojanhorseleakinesssecuritystrategyAbstract:ExploitingtheAspTrojanhorsetoattackthewebsiteisoneofthemain
webvulnerabilitytechniquesItjustusestheAspActiveServerPagescripttoexecutethecmd.execommandandcontrolthethesystemfinally.OncetheattackersputtheAspTrojanhorsetotheircontrolwebsitestheycanusedoscommandtodeleteandcopythefilesofsystemandsoon.Soitcanbringenormouslatentsecurityproblems.ThisPaperanalysesthecoreofthemainAspTrojanhorsetechniqueandthenitgivesthedefensiveoftheuniversalitytacticoftheAspTrojanhorse.67第1期陈小兵等:
Asp木马漏洞安全防范策略