Asp木马漏洞安全防范策略

  • 格式:pdf
  • 大小:110.79 KB
  • 文档页数:4

第28卷 第1期河北理工学院学报Vol128 No11 2006年2月Journa l of Hebe i I n stitute of Technology Feb.2006文章编号:100722829(2006)0120064204A s p木马漏洞安全防范策略陈小兵,于 滨(北京航空航天大学软件学院,北京100083)关键词:A s p木马;漏洞;安全防范策略摘 要:利用A s p木马漏洞技术是目前入侵网站的主流技术之一,该技术主要利用A s p脚本来执行c md.exe命令,从而达到控制操作系统的目的。

一旦入侵者在所攻克的网站中植入了A s p木马后,则可以使用常用的DOS命令来对系统文件进行删除、复制等操作,给该系统带来巨大的安全隐患。

通过对目前主流的A s p木马核心技术的分析,然后给出了A s p木马漏洞安全防范的一般性策略。

中图分类号:TP393.08 文献标识码:A1 A s p木马核心技术分析A s p木马技术目前主要有两种,一种是利用FS O技术,另外一种利用App licati on.shell脚本技术。

FS O 是对Filesyste mObject的简称,II S4以及后续版本中的A s p的文件操作都可以通过FileSyste mObject实现,包括文本文件的读写目录操作、文件的拷贝改名删除等。

FileSyste mObject带来方便的同时,也具有非常大的风险性,利用FileSyste mObject可以篡改并下载Fat以及F AT32分区上的任何文件,即使是ntfs,如果没有对权限进行很好的设置,同样也能遭到破坏。

1.1 使用FS O技术的as p木马利用FS O技术的as p木马程序的算法:(1)从as p页面获取输入的Dos命令。

(2)创建W SCP I PT.SHELL、W SCR I WORK和Scri p ting.FileSyste mObject三个脚本对象。

(3)执行DOS命令解释器并执行所输入的DOS命令,并将DOS命令所执行结果输出到一个临时文件。

(4)打开临时文件并将其结果回显在网页上,最后删除临时文件。

其核心代码如下:……Set oScri p t=Server.Create Object("W SCR I PT.SHE LL")Set oScri p t N et=Server.Create Object("W SCR I WORK")Set oFileSys=Server.Create Object("Scri p ting.FileSyste mObject")sz C MD=Request.For m(".C MD") I f(sz C MD<>"")Then szTe mpFile="C:/"&oFileSys.GegtTe mpNa me()Call oScri p t.Run("c md.exe/c"&sz C MD&">"&szTe mpFile,0,Ture)’使用Run方法创建一个新的进程,隐藏窗口并激活另一窗口,返回由应用程序返回的任何错误代码。

Set oFile=oFileSys.OpenTextFile(szTe mpFile,1,False,0)’打开临时文件azTempFileEnd I f收稿日期:2005203220 作者简介:陈小兵,男,北京航空航天大学软件学院硕士生。

……I f (Is Object (oFile ))ThenRes ponse .W rite Server .HT MLEncode (oFile .Read A ll )’在网页上输出命令执行的结果oFile .Cl oseCall oFileSys .DeleteFile (szTe mpFile,True )’删除临时文件szTe mpFileEnd I f ……1.2 非FS O 技术的as p 木马不使用FS O 技术的ASP 木马是创建一个Shell .App licati on 对象,然后通过shell .na mes pace 来对创建的对象进行操作。

通过使用该种方法虽然不能执行net 、del 以及netstat 等命令,但是它可以复制、浏览、移动文件夹以及执行系统中存在的特定程序。

不过在每执行一次应用程序时都会打开一个进程,而且可能会报错,通过任务控制器可以查看其打开的进程。

其核心代码如下:……sz C MD1=Request .For m ("text1")’目录拷贝,不能进行文件拷贝sz C MD2=Request .For m ("text2")if szc md1<>""and szc md2<>""thenset shell1=server .createobject ("shell .app licati on")’建立shell 对象set fod1=shell1.ne mepace (szc md2)f or i =len (szc md1)t o 1step -1if m id (szc md1,i,1)="\"then path =left (szc md1,i -1) exit f orend ifnextif len (path )=2then path =path &"\"path2=right (szc md1,len (szc md1)-i )set fod2=shell1.na mes pace (path )set fodite m =f od2.parsena me (path2)f odl .copyhere f odite mend ifsz C MD5=Request .For m ("text5")’执行程序到指定路径sz C MD6=Request .For m ("text6")if szc md5<>""and szc md6<>""thenset she113=server .createobject ("shell .app licati on"’建立shell 对象she113.na mes pace (szc md5).ite m s .ite m (szc md6).invokeverbend if……2 as p 木马防毒技术在攻克主机植入as p 木马后,为了保护好自己的战利品,防止系统管理员发现,黑客一般情况下都会对as p 木马进行保护,往往通过加密、更改时间以及使用特殊字符等手段来逃过被杀毒软件的查出和避免系统管理员的发现。

2.1 利用软件对as p 源代码加密目前有很多软件可以对as p 源代码进行加密,例如as p 木马免杀工具2.0等。

其原理是采用一定的算法将源代码或者源代码中的关键字进行某种转换,经过转换后,源代码已经变为乱码或者显示为特定的字符形56 第1期 陈小兵,等:A s p 木马漏洞安全防范策略66 河 北 理 工 学 院 学 报 第26卷 式。

2.2 修改asP木马文件的时间as p木马上传到服务器后,即使非常隐蔽,但是其文件修改时间的变化在正常文件中也很容易被发现,因此通过修改木马源程序文件的修改时间跟在服务器上的正常文件的时间一致来保护在网站所植入的木马程序。

2.3 利用特殊字符“\”来保护as p木马W indows在设计时已经考虑到不能使用“\”来作为文件及其文件夹的名字,但是在使用c md.exe命令来创建文件时,如果其文件名中包含了“\”,则该文件名中的“\”将被忽略,但是所建立的文件夹还是会成功,只是不会显示“\”,且在浏览器中既不能打开,也不能够被删除。

利用“\”字符来保护as p木马文件的原理为:在II S设置的目录下创建一个形入“a…\”的文件夹,然后将木马文件复制到该文件夹中。

复制成功后,可以在浏览其中输入其地址正常运行as p木马程序,而该文件而既不能被删除也不能被打开。

3 常见的as p木马程序和软件3.1 海阳顶端网as p木马在众多的as p木马中,海阳顶端网as p木马应该是比较成熟的,也是用得最多的as p木马,就其版本而言,到目前为止已经推出了数个版本。

早期的海阳顶端网as p木马一般都有数个as p文件,后期的as p木马把所有的文件都集成到一个文件中了,例如xp版和xp-net版集成后的文件大小也就二十多k。

海阳顶端网as p木马是用as p脚本语自编写,提供在线更改。

编辑、删除仟意文件,使用该木马来操作文件就如同在本机上操作文件一样方便。

3.2 as p木马免杀工具2.0as p木马免杀工具2.0是一款对as p源代码进行加密的工具,大小仅545k。

利用该软可以方便的对as p 木马文件进行加密,加密后的文件目前可以躲过瑞星等杀毒软件的查杀。

3.3 思易ASP木马追捕2.0思易ASP木马追捕2.0主要对文件中是否存在FS O、deletef older、shell.app lecatl on、wscri p t、x m lhttP、vb2 scri p t.encode、adodb.strea m对象或者使用了其中的某些方法进行检查,可以对利用变量创建对象、静态对象以及自定义的关键字等进行搜索。

不过该程序当对较大文件的检索可能导致II S停止响应,甚至可能导致服务器宕机。

4 ASP木马安全防范策略A s p木马安全防范策略是建立在操作系统的安全基础上的,通过在实践中的应用研究和分析,可以采用以下策略来防止和根除ASp木马。

4.1 升级论坛程序到最新版本许多as p木马程序都是通过发现论坛程序中的漏洞而将as p木马程序植入的,因此要及时的关注所使用的论坛程序并更新论坛程序,打上论坛程序补丁。

4.2 尽量不安装插件在网站设计时,如果没有特别的需要,尽量避免安装第三方插件。

如果安装了一定要设置好权限并有相应的安全措施。

4.3 定期检查网站文件网站或者系统管理员应定期全面检查网站文件,及时发现和排除可疑文件,保障系统的安全。

网站正式运行时,应当使用一些屏幕捕捉工具软件一次性将文件目录及其文件属性(名称、大小、文件类型、修改时间等)记录下来并及时备份网站程序,便于后期维护时检查网站更新文件的修改时间,通过比较修改时间来检查是否有非法用户上传文件,从而检查网站是否存在as p木马。