IIS如何防ASP木马

evenno

IIS是Internet Information Server的简称。IIS作为当今流行的Web服务器之一，提供了强大的Internet和Intranet服务功能，然而在ASP木马程序泛滥的今天，如何加强IIS的安全机制，建立一个高安全性能的Web服务器，已成为IIS设置中不可忽视的重要组成部分。笔者就工作中的个人经验，与各位朋友交流商讨，如有不当之处，还望指教。　　由于技术条件的限制，目前大多数企业网，校园网,都采用了免费下载的ASP源程序，这些源程序使用虽然方便，但确存在的很多的安全隐患。当某种网站信息管理系统出现安全漏洞时，则所有采用该系统的网站都将面临被攻击的危险，服务器不幸被成功上传ASP木马并执行后，服务器中的所有数据完全暴露，黑客可以对服务器文件进行创建、修改、删除、上传、下载，服务器数据毫无安全可言，ASP木马甚至可以运行命令行程序,创建用户帐号，安装后门程序，利用系统漏洞将用户权限提升为管理员权限，此时服务器彻底被黑客控制。由于ASP木马与正常的ASP文件并无本质的不同，因此很容易进行伪装、修改，混杂在普通ASP文件中难以分辨，并且ASP木马也很容易被加密，一般杀毒软件都不能彻底查杀，这也是不少网站管理人员头疼不已的问题。鉴于ASP木马入侵成功需要“上传“和“执行”两个步骤，笔者总结了防范ASP木马的几条要点,与各位同行交流。
　　要点一：及时更新安全补丁，避免“默认设置”
　　绝大部分的黑客都是利用各种安全漏洞入侵服务器成功的，所以更新各种补丁是每个网管人员的重要工作。猜测关键字也是黑客常利用的手段，所以网站程序、服务器设置，越是与众不同，安全性就越高。网络上有将Windows系统的 IIS服务伪装成Linux系统的Apache服务的做法来迷惑非法入侵者，将数据库中的数据表、字段命名为不易猜到的名称来有效防范SQL注入攻击，及通过改变服务端口号以拒绝试探性的连接，以提高服务器的安全性。
　　要点二：限制Internet来宾帐户的访问权限
　　互联网用户一般都是以“Internet来宾帐户”访问我们的WEB站点的，因此严格控制Internet来宾帐户的访问权限也是非常重要的。一般来说，Internet来宾帐户的访问权限应该限制在web站点目录内，且只具有读取和运行的权限，需要给予写入权限的文件、文件夹应单独设置，若无特殊要求,不应该给网站目录以外的其他目录任何访问权限。如将各个分区的根目录设置为拒绝“Internet来宾帐户”任何权限时，ASP木马运行后，将无法访问各个分区的根目录，从而保护了其他文件的安全。这在一台服务器包含多个WEB站点时，即使一个站点被黑，仍可以保护其他站点的文件安全。为使IIS服务在最低权限下运行，还需要考虑“启动IIS 进程帐号”的权限设置，以保证IIS服务的正常工作。访问权限够用就好，绝不多给。
　　要点三：仔细考虑站点目录的执行权限
　　在WEB站点文件中包含ASP程序的目录是必须给予执行权限的，否则ASP程序将不能执行，其他的目录则都不应有执行权限，特别是可以写入的目录。原则上 “Internet来宾帐户”具有写入权限的目录绝不能给予执行权限”。这要求网站目录结构设计时就应该考虑。这样黑客即使利用安全漏洞上传了ASP木马，但由于没有执行权限而无法执行，同样可以起到保护的作用。若按上文所说的方法设置“Internet来宾帐户”访问权限，即使ASP木马运行，但由于网页程序代码文件都是只读的，ASP木马也将无法修改网页程序代码而无法在被入侵网站上挂木马病毒，同时无法访问站点外的文件。
　　要点四：隐藏或删除不必要的组件
　　为防范ASP木马对服务器操作系统的威胁，可以删除或隐藏不安全的组件，ASP木马利用的常用组件分别是：FileSystemObject组件、WScript.Shell组件、Shell.Application组件、WScript.Network组件等，对于不需要的组件可以用RegSrv32 /u命令卸载，在CMD命令行窗口中运行以下命令：regsvr32/u C:\WINNT\System32\wshom.ocx regsvr32/u C:\WINNT\system32\shell32.dll
即可将WScript.Shell, Shell.application, WScript.Network组件卸载，可有效防止ASP木马通过wscript或shell.application执行命令以及使用ASP木马查看服务器系统的一些敏感信息。需要的组件可以通过修改注册表，将组件改名。如：修改注册表中HKEY_CLASSES_ROOT\Scripting.FileSystemObject\为FileSystemObject_ChangeName同时更改clsid值，以后调用的时候使用新名称就可以正常调用此组件。
　　ASP木马程序在严格细致的权限控制之下，是可以防范的。及时更新安全补丁，限制“Internet来宾帐户”的权限，大大阻止了ASP木马的非法上传，通过细致的IIS站点目录执行权限设置，又避免了大部分ASP木马的执行，而不安全组件的隐藏、删除，又将ASP木马执行后的危害大大降低，严格、综合、全面的权限体系将使黑客利用ASP木马入侵WEB站点，传播木马病毒的阴谋无法轻易得手。
　　本文发表于：