--  动易如何预防ASP木马防止网页被黑

想必很多虚拟主机用户都遇到过网页被篡改、数据被删除的经历，事后除了对这种行径深恶痛绝外，许多客户又苦于没有行之有效的防范措施。

鉴于大部分网站入侵都是利用asp木马完成的，特写此文章以使普通虚拟主机用户能更好地了解、防范asp木马。也只有空间商和虚拟主机用户共同做好防范措施才可以有效防范asp木马!

一、什么是asp木马?

它其实就是用asp编写的网站程序，甚至有些asp木马就是由asp网站管理程序修改而来的。

它和其他asp程序没有本质区别，只要是能运行asp的空间就能运行它，这种性质使得asp木马非常不易被发觉。它和其他asp程序的区别只在于asp木马是入侵者上传到目标空间，并帮助入侵者控制目标空间的asp程序。要想禁止asp木马运行就等于禁止asp的运行，显然这是行不通的，这也是为什么asp木马猖獗的原因!

二、入侵原理

要想入侵，就要将asp木马上传到目标空间，这点很重要!

那么入侵者如何上传asp木马呢？

说来有些讽刺，入侵者多是利用目标空间中已有的具有上传功能的asp程序来实现的。正常情况下，这些可以上传文件的asp程序都是有权限限制的，大多也限制了asp文件的上传。(比如：可以上传图片的新闻发布、图片管理程序，及可以上传更多类型文件的论坛程序等)但由于存在人为的asp设置错误及asp程序本身的漏洞，给了入侵者可乘之机，实现上传asp木马。只要asp木马上传到目标空间，入侵者就可以运行它，完成对目标空间的控制。

因此，防范asp木马的重点就在于虚拟主机用户如何确保自己空间中asp上传程序的安全上!

说白了就是不让入侵者有上传文件的机会!

在这里额外说一下：

空间商由于无法预见虚拟主机用户会在自己站点中上传什么样的程序，以及每个程序是否存在漏洞，因此无法防止入侵者利用站点中客户程序本身漏洞上传asp木马的行为。

空间商只能防止入侵者利用已被入侵的站点再次入侵同一服务器上其他站点的行为。

这也更加说明要防范asp木马，虚拟主机用户就要对自己的程序严格把关!

三、防范措施

首先大家可以根据下面的安全级别，评估一下自己网站被asp木马入侵的风险度。

a、网站中没有任何上传程序和论坛程序

----- 非常安全

b、网站中有上传程序或论坛程序，只有管理员可以上传程序，并对程序数据库做了保护措施

----- 一般安全

c、网站中有上传程序或论坛程序，有许多用户可以上传程序，对程序数据库没有做保护措施

----- 非常危险！

这个安全级别只是让大家对自己空间的安全有一个初步认识，接下来我们要说说具体的防范措施了:

1、我们建议客户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程序，只要可以上传文件的asp都要进行身份认证!另可以在不需要上传功能时将实现上传的asp文件改名或删除，如upload.asp、upfile.asp等，然后在需要使用时再通过ftp恢复原名或重新上传。

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。建议我公司的客户使用.mdb的数据库文件扩展名，因为我公司服务器设置了.mdb文件防下载功能。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。尤其是用来专门存放上传文件的目录，如:uploadfile、uploadsoft等，如果发现不明的*.asp或*.exe文件应该立即删除，因为这些文件有90%的可能是入侵程序。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非客户自己能识别出所有木马文件，否则要删除所有文件。重新上传文件前，所有asp程序用户名和密码都要重置，并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。

11、安装必要的入侵检测系统，及时更新杀毒软件。

做好以上防范措施，您的空间只能说是相对安全了，决不能因此疏忽大意，因为入侵与反入侵是一场永恒的战争!

--  
要查木马不需要很多工具，一个Ftp软件加上Windows自带的搜索功能，再有个文本编辑器如Windows带的记事本就齐备了。
　　Ftp软件建议用FlashFXP，在查木马方面他有些功能比较实用。

第一步：

　　检查网站是不是最新的组件（在登录系统后台，页面最下方显示“动易组件支持”的版本号，尽可能使用最新的组件）。

此主题相关图片如下：

第二步：

　　请检查网站根目录中是否还保留有 Install.asp 文件，若有请立即删除。当您的网站架设好后，Install.asp 文件一定要删除！！

检查“系统设置”->“网站信息配置”中的“版权信息”是否有“< script  ”、“ <iframe ”等脚本内联代码 ，若有请立即删除。

1）网站信息配置

此主题相关图片如下：

中的

此主题相关图片如下：

第三步：
      
　　点击“系统设置”->“在线比较网站文件”链接，利用系统提供的在线比较工具，查看动易的文件有无异常，若有利用FTP进行相应文件的检查，以确保动易的文件都是最新的。

此主题相关图片如下：

第四步：

登录Ftp仔细查找动易以外的木马文件。您可以在“FlashFXP”软件中选择“工具”->“查找在FTP服务器上的文件”功能查找文件：

此主题相关图片如下：

　  由于木马一般都为.asp 文件，所以这里FTP 文件搜索名称我们可以输入 *.asp ,查找范围全网站：

此主题相关图片如下：

由于黑客上传的木马往往是最近日期的，因为本身的系统作为用户并不频繁修改系统文件，点击“修改日期”按修改日期进行排列检查：

此主题相关图片如下：

;  点击最新日期的文件右键，选择“查看”：

此主题相关图片如下：

windows 会弹出记事本预览代码，您就可以看到本文件是否为木马文件，如果是则可利用FTP 直接删除。
        
　　如果以上您不知道的文件过多，一个个排查十分浪费时间话，您可以下载整个网站程序到本机进行排查。
注意：您可以不用下载网站中的Database 目录，Database 目录中网站的数据库文件PowerEasy2006.mdb（或您已经改名）。如果检查过了各个频道文件夹内的 UploadFiles上传目录，则这些目录也可不用下载。
　　究竟有多少频道目录及他们的上传目录是什么 可在系统后台，系统设置，网站频道管理中，看到频道目录名：

此主题相关图片如下：

各频道的上传目录名在每个频道管理的上传选项中查看：

此主题相关图片如下：

下载到本机后，可以利用windows 搜索管理功能，查询一些具有攻击性的语法，如动易系统没有 VBScript.Encode ，所以一经发现即可立即删除本文件。

此主题相关图片如下：

这里提供搜索的关键词不一定是最全的，希望有经验的朋友继续提供，我们会随时更新关键词列表。

注意：动易系统包含的不要删除，例如：User_saveflash.asp（用于系统摄像头图片捕捉上传），不是动易的建议立即删除。

第五步：

　　检查服务器IIS 映射。
　　如果您有自己的服务器，您要查看下 IIS 网站属性   － 主目录 － 配置选项按钮 － 映射，将扩展名为cdx 和 cer 都删掉。

此主题相关图片如下：

　　至此查木马的工作可以告一段落了。再总结归纳一下三个方法和一个注意：

方法：
      
　　1、对比法：请经常关注系统后台提供的在线比较工具，查看动易的文件有无异常，需要的时候使用Ftp工具的比较功能进行比对。
　　2、时间比较法：记住自己最后更新文件的时间，出现在该时间以后的可执行脚本一定有问题。但是注意，数据库的更新时间总是最新的，请不要误删。
　　3、关键词搜索法：按照我提供的关键词搜索文件，基本可以确定木马。

注意：

　　配置好网站后要记得删除网站根目录的 Install.asp 文件。

　　最后，“防”更胜于“杀”，请及时动易官方最新的组件，尽量不安或少安插件，才是保证你的网站正常运行的不二法则。
　　有一点应该注意，如果确实发现木马了，处理完毕之后，应该将具有管理权限的各类帐号都进行修改。包括论坛的帐号、数据库帐号以及服务器操作系统帐号、FTP 帐号等。

--

3.62版解决方法是一样的，FTP打开服务器目录后，和原始动易程序做时间、文件大小的对比，尤其注重首页和上传目录，发现有变化，可用原始文件替换！并删除上传目录文件夹中不明程序。

如发现反复被同一IP地址所攻击，请按相关法律，备份好所有证据，上报至公安有关部门。如得不到相关问题的解决，可用以下几种方法反攻之：

1、反攻击：一般上传不明程序中都带有发送至黑客信箱程序，可在此文件中添加格式化、攻击器、使之电脑彻底崩溃程序。

2、修改相关的木马文件：在发送至黑客信箱程序中，添加木马文件，使之在后台运行，反馈至你的信箱，彻底控制黑客的信箱或电脑，反为之使用。

3、人气较多的网站，可号召大家共同使用阿拉丁洪水攻击器，攻击其黑客IP地址（IP地址要经过反复确认），使之系统崩溃。

以上为反击手段，只有在得不到相关部门解决的情况下供大家参考，其详细操作方法请大家自我解决，在此不做讨论，望大家慎重使用！法律自付！

如斑竹认为此贴有违反发贴原则，可单独删除此贴！

--

网络常见木马的手工清除方法(一)

木马的出现对我们的系统造成了很大的危害，但是由于木马通常植入得非常隐蔽，很难完全删除，因此，这里我们介绍一些常见木马的清除方法。

　　1. 网络公牛（Netbull）

　　网络公牛是国产木马，默认连接端口23444。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C://WINDOWS//SYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽、危害很大。同时，服务端运行后会自动捆绑以下文件:

　　win2000下：notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。

　　服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上，在注册表中网络公牛也悄悄地扎下了根。

　　网络公牛采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难。这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。

　　清除方法：

　　1.删除网络公牛的自启动程序C://WINDOWS//SYSTEM//CheckDll.exe。

　　2.把网络公牛在注册表中所建立的键值全部删除：
　　3.检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些文件删除，再重新安装。

　　2. Netspy（网络精灵）

　　Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了。服务端程序被执行后，会在C://Windows//system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE//software// microsoft//windows//CurrentVersion //Run//下建立键值C//windows// system//netspy.exe，用于在系统启动时自动加载运行。

　　清除方法：

　　1.重新启动机器并在出现Staring windows提示时，按F5键进入命令行状态。在C://windows//system//目录下输入以下命令：del netspy.exe；

　　2.进入HKEY_LOCAL_MACHINE//

　　Software//microsoft//windows// CurrentVersion//Run//，删除Netspy的键值即可安全清除Netspy。

　　3. SubSeven

　　SubSeven的功能比起BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374)，服务端只有54.5k，很容易被捆绑到其它软件而不被发现。最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此很难查。

清除方法：

　　1.打开注册表Regedit，点击至： HKEY_LOCAL_MACHINE//SOFTWARE//

　　Microsoft//Windows//CurrentVersion//Run和RunService下，如果有加载文件，就删除右边的项目：加载器=“c://windows//system//***”。注：加载器和文件名是随意改变的

　　2.打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。

　　3.打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。

　　4.重新启动Windows，删除相对应的木马程序，一般在c://windows//system下，在我在本机上做实验时发现该文件名为vqpbk.exe。

　　4. 冰河

　　我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C://Windows//system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe。

　　清除方法：

　　1.删除C://Windows//system下的Kernel32.exe和Sysexplr.exe文件；

　　2.冰河会在注册表HKEY_LOCAL_

　　MACHINE//software//microsoft//windows// CurrentVersion//Run下扎根，键值为C://windows//system//Kernel32.exe，删除它；

　　3.在注册表的HKEY_LOCAL_

　　MACHINE//software//microsoft//windows// CurrentVersion//Runservices下，还有键值为C://windows//system//Kernel32.exe的，也要删除；

　　4.最后，改注册表HKEY_CLASSES_

　　ROOT//txtfile//shell//open//command下的默认值，由表中木马后的C://windows//system//Sysexplr.exe %1改为正常的C://windows//notepad.exe %1，即可恢复TXT文件关联功能

--  
5. 网络神偷（Nethief）

　　网络神偷是个反弹端口型木马。什么叫“反弹端口”型木马呢？与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP　服务端的IP地址:1026　客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。

　　清除方法：

　　1.网络神偷会在注册表HKEY_LOCAL_MACHINE//SOFTWARE//

　　Microsoft//Windows//CurrentVersion//Run下建立键值“internet”，其值为“internet.exe /s”，将键值删除；

　　2.删除其自启动程序C://WINDOWS//SYSTEM//INTERNET.EXE。

　　6. 广外女生

　　“广外女生”是是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于“广外女生”服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！ 　　

　　清除方法：

　　1.启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它；

　　2.我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”；

　　3.回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）；

　　4.找到HKEY_CLASSES_ROOT//

　　exefile//shell//open//command，将其默认键值改成"%1" %*；

　　5删除注册表中名称为“Diagnostic Configuration”的键值；

　　6.关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。

7. WAY2.4

　　WAY2.4是国产木马程序，默认连接端口是8011。WAY2.4的注册表操作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！WAY2.4服务端被运行后在C://windows//system下生成msgsvc.exe文件，图标是文本文件的图标，很隐蔽。看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINE//SOFTWARE// Microsoft//Windows//CurrentVersion//Run下建立串值Msgtask。

　　清除方法：

　　用进程管理工具查看，你会发现进程CWAY，只要删除它在注册表中的键值，再删除C://windows//system下的msgsvc.exe这个文件就可以了。

　　要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到DoS下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了。注意在删除前请栀湩???????????????做好备份

--  
木马经典十大藏身地点大搜查

木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。有人说，既然木马这么厉害，那我离它远一点不就可以了！然而这个木马实在是“淘气”，它可不管你是否欢迎，只要它高兴，它就会想法设法地闯到你“家”中来的！哎呀，那还了得，赶快看看自己的电脑中有没有木马，说不定正在“家”中兴风作浪呢！那我怎么知道木马在哪里呢，相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招哟！1、集成到程序中其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。2、隐藏在配置文件中木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。3、潜伏在Win.ini中木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子：run=c://windows//file.exe load=c://windows//file.exe这时你就要小心了，这个file.exe很可能是木马哦。4、伪装在普通文件中这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。5、内置到注册表中上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉！然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚！但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表！的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马哦：HKEY_LOCAL_MACHINE//Software//Microsoft//Windows//CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USER//Software//Microsoft//Windows//CurrentVersion下所有以“run”栀湩???????????????开头的键值；HKEY-USERS//.Default//Software//Microsoft//Windows//CurrentVersion下所有以“run”开头的键值。6、在System.ini中藏身木马真是无处不在呀！什么地方有空子，它就往哪里钻！这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exe file.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端程序！另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径＼程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。7、隐形于启动组中有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑(哎，这木马脸皮也真是太厚)，因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。动组对应的文件夹为：C://windows//start menu//programs//startup，在注册表中的位置：HKEY_CURRENT_USER//Software//Microsoft//Windows//CurrentVersion//Explorer//ShellFolders Startup="C://windows//start menu//programs//startup"。要注意经常检查启动组哦！8、隐蔽在Winstart.bat中按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。9、捆绑在启动文件中即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。10、设置在超级连接中木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗！奉劝不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意等等。