虚拟主机如何更有效的防范ASP木马入侵

虚拟主机如何更有效的防范ASP木马入侵
1、 序
随着网络技术和信息技术的发展，在线信息服务在学校或其它地方得到了充分的运用。目前IIS是各院校里使用最多的WEB服务器，但由于各院校的系部、办公部门和学生社团众多，为每个部门都建立自己独立网站是不现实的，所以虚拟主机(Virtual Host／Virtual Server)技术也成为各院校解决有限资源的最有效的方法。而ASP与IIS WEB服务器紧密集成，是目前使用最多的WEB页面脚本语言，同时基于ASP技术的木马，也越来越多且功能也越来越强大。由于ASP它本身是服务器提供的一项服务功能，所以这种ASP脚本的木马后门，不会被杀毒软件查杀，被黑客们称为“永远不会被查杀的后门”。它高度的隐蔽性和难查杀性对网站的安全造成了严重的威胁。

2、 虚拟主机介绍
虚拟主机(Virtual Host／Virtual Server)也称虚拟服务器或共享服务器，是指使用特殊的软硬件技术，把一台运行在因特网上的服务器主机分成一台台“虚拟”的主机，以使多个用户共用一台服务器，达到降低建站成本和维护费用的目的。同时，每一台虚拟主机又都具有独立的域名或IP地址，具有完整的Internet服务器(wWW、FTP等)功能。IIS支持三种虚拟主机方式：基于IP的虚拟主机、基于主机名的虚拟主机和基于端口的虚拟主机。

3 、木马对虚拟主机的威胁
服务器提供的ASP服务功能，在ASP语言中的标准组件FileSystem0bject为ASP提供了强大的文收稿日期：2006-03-02作者简介：郑光~(1972-)。男，湖南大学硕士研究生，讲师。主要研究方向：算法设计、数据挖掘．- 38·件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作，所以众多ASP木马后门也利用了这一标准组件，导致了它不易查杀性和高度的隐蔽性，一旦某个虚拟主机中被植入了ASP木马，则木马编写者将可以对整个站点进行控制，对网站的安全造成威胁。

4 、防范ASP木马入侵措施
4．1 加强对各虚拟主机用户上传文件的管 ASP木马的隐藏方法很高明，经常是ASt 木马代j q加密，图片合并，文件时间修改，还有要命的系统漏洞利用等等，这对于要百分之百防范ASP木马的入侵几乎不可能，只有做好堵住木马上传的源头。对于虚拟主机用户上传的页面文件应在条件允许的情况下派专业技术人员进行审核，如发现可疑脚本代码应即时与用户进行协作，共同做好页啊文件的修改完善。虚拟主机用户要确保自己空间中AsP } 传程序的安全，对于支持文件上传的栏目，设定好你要上传的文件格式，直接从程序上锁定，让上传程序做一次验证，如果是用别人的程序，尽量用出名一点的大型一点的程序，这样漏洞自然就少一些，而且尽量使用最新的版本，并且要经常去官方网站查看新版本或者是最新补丁，那样你的上传程序安全性将会大大提高。但是，为了更好地防范ASP木马入侵到虚拟主机里，建议用户通过fcp来上传、维护网页，尽量不安装ASP的上传程序。
4．2 对ASP组件对象的设置来防范ASP木马入侵
下面有一段ASP代码：Set oscfipt= Server．CreateObject ( Wscript．SHELL')”Set oscriptNet=Server．CreateObject f，Wscript．维普资讯 http://www.cqvip.com第27卷第6期郑光勇。胡孝昌．尹军：防范ASP木马入侵虚拟主机的研究NETWORK")Set oFileSys=Server．CreateObject f，scripting．FileSystemObject )上面三行代码创建了Wscript．SHELL、Wscript．NETWORK、scripting．FileSystemObject三个对象。通过分析，可以看出ASP木马主要是通过3个组件运行的，第一个是FSO，需要FSO支持也就是“scripting．FileSystemObject”项的支持，一般来说我们不对这个组件进行删除，因为那样会让现在很多要用到FSO这个组件的程序都无法正常运行，如果使用删除或限制的方法，显得有些极端了，使用时要谨慎。但在特殊情况下也可以采取对这个组件删除或修改的方法来防止ASP木马入侵。另外二个组件“shel1．application”、“Wscript．SHELL”组件，一般的木马都是要使用这几个组件的，即使把FSO组件限制的话，而不去限制别的组件，一样不能起到很好的防范效果，对于FSO组件之外的其他的几个组件，平时是不太用，所以可以直接在注册表中的HKEY_ CLASSES_ ROOT中找到“shel1．application”、“Wscript．SHELL”等危险的脚本对象(因为它们都是用于创建脚本命令通道的)进行改名或删除，也就是限制系统对“脚本SHELL”的创建，ASP木马也就成为无本之木、无米之炊，运行不起来。如果自己要使用的话，那么就不要删除，而是直接更改名字，并且要改得复杂些，不易猜到。对各组件结合起来设置，对能防范ASP木马的侵入才能取到很好的效果。
4．3 结合IIS与操作系统权限管理来防范ASP木马攻击
随着Intemet的发展，Web技术日新月异，人们已经不再满足于静态HTML技术，更多的是要求动态、交互的网络技术。继通用网关接口(CGI)之后，微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术，被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。权限管理是保证Web站点正常运行的最重要的方面， IIS的权限管理是与WINDOWS紧密相关的。作为一个WEB服务器， 所有的磁盘分区都应该为NTFS格式的，NTSF分区对用户权限做出了非常严格的限制，每个用户都只能按着系统赋予的权限进行操作。在安装WEB服务器时，我们应该为服务器上为每个分区设置相应的用户及权限。将“Administrators”、 “Backup Operators”、 “PowerUsers”、“Users”等几个组添加到分区的管理用户中去，并给予“完全控制”或相应的权限，但不要给“Guests”组、“IUSR一机器名”这几个帐号任何权限。同时将“Everyone”组从列表中删除。这样，就只有授权的组和用户才能访问此硬盘分区了，而ASP执行时，是以“IUSR_机器名”的身份访问硬盘的，这里没给该用户帐号权限，ASP也就不能读写硬盘上的文件了。作为虚拟主机用户都应该设置一个单独的用户帐号，并且给每个帐号分配一个允许其完全控制的目录，该目录的对应虚拟主机用户账号对它有完全控制的权限。使用“Intemet信息服务”，可以对虚拟主机进行设置。在虚拟主机“属性”中可以选择对应的用户目录对其进行权限设置，一般该目录的默认安全设置是“Everyone”完全控制，可将最下面的“允许将来自父系的可继承权限传播给该对象”前面的“、v／”去掉，即取消目录的继承权；将其它组和用户对他的权限清空，然后将“Administrator”及目录对应账号添加，给予完全控制的权限；还可以根据实际需要添加其他组或用户，但一定不要将“Guests”组、“IUSR_机器名”这些匿名访问的帐号添加上去。通过对虚拟主机设置后，使用ASP的FileSystemObject等组件就只能访问自己目录下的内容，当试图访问其他内容时，会出现诸如“没有权限”、“硬盘未准备好”、“500服务器内部错误”等出错提示了。充分地防止了ASP木马利用“Guests”组、“IUSR 机器名” 匿名访问对虚拟主机进行攻击。
5 、总结在网络的安全防范工作中，对木马的防范工作十分重要。对于每个网络工作者来说维护网络的安全应该是其首要任务，针对现在虚拟主机在网络中的流行，如何在网中防范ASP木马利用FSO组件威胁虚拟主机安全则显得尤为重要，通过对网站的操作系统、IIS的权限管理及对注册表的修改，在一定程度上可以防止ASP木马侵入。