第28卷 第1期河北理工学院学报V ol 28 No 1 2006年2月Journal of H ebei Institute of Technology Feb.2006
文章编号:1007 2829(2006)01 0064 04
A sp木马漏洞安全防范策略
陈小兵,于 滨
(北京航空航天大学软件学院,北京100083)
关键词:A sp木马;漏洞;安全防范策略
摘 要:利用Asp木马漏洞技术是目前入侵网站的主流技术之一,该技术主要利用Asp脚本来
执行c 命令,从而达到控制操作系统的目的。一旦入侵者在所攻克的网站中植入了
Asp木马后,则可以使用常用的DOS命令来对系统文件进行删除、复制等操作,给该系统带来
巨大的安全隐患。通过对目前主流的A sp木马核心技术的分析,然后给出了A sp木马漏洞安
全防范的一般性策略。
中图分类号:TP393.08 文献标识码:A
1 A sp木马核心技术分析
A sp木马技术目前主要有两种,一种是利用FSO技术,另外一种利用App lication.shell脚本技术。FSO 是对Filesyste mObject的简称,II S4以及后续版本中的A sp的文件操作都可以通过FileSyste mOb j e ct实现,包括文本文件的读写目录操作、文件的拷贝改名删除等。FileSyste mOb ject带来方便的同时,也具有非常大的风险性,利用F ileSyste mObject可以篡改并下载Fat以及FAT32分区上的任何文件,即使是n tfs,如果没有对权限进行很好的设置,同样也能遭到破坏。
1.1 使用FSO技术的asp木马
利用FSO技术的asp木马程序的算法:
(1)从asp页面获取输入的Dos命令。
(2)创建W SCPI PT.S H ELL、W SCR I PT.NET W ORK和Scri p ting.FileSyste mOb j e ct三个脚本对象。
(3)执行DOS命令解释器并执行所输入的DOS命令,并将DOS命令所执行结果输出到一个临时文件。
(4)打开临时文件并将其结果回显在网页上,最后删除临时文件。其核心代码如下:
Set oScri p t=Server.Create Ob ject("W SCR I PT.SHELL")
Set oScri p t N et=Ser ver.Create Ob ject("W SCR I PT.NETWORK")
Set oFileSys=Server.C reate Object("Scri p ti n g.FileSyste mOb ject")
szC MD=Reques.t For m(".C MD")
If(sz C MD<>"")Then
sz Te m pF ile="C:/"&oF ileSys.Geg t T e m pNa m e()
Ca ll oScri p.t Run("c /c"&szC MD&">"&sz Te m pF ile,0,Ture)使用Run方法创建一个新的进程,隐藏窗口并激活另一窗口,返回由应用程序返回的任何错误代码。
Set oFile=oF ileSys.OpenTex t F ile(sz Te mpF ile,1,Fa lse,0)打开临时文件azTe m pFile
End If
收稿日期:2005 03 20
作者简介:陈小兵,男,北京航空航天大学软件学院硕士生。
If(Is Ob ject(oFile))Then
Response .W rite Server .HTMLEncode(oFile .R eadA ll) 在网页上输出命令执行的结果
oFile .C lose
Ca ll oFileSys .D eleteFile(sz T e m pFile ,True) 删除临时文件sz Te m pF ile
End If
1.2 非FSO 技术的asp 木马不使用FSO 技术的ASP 木马是创建一个Shel.l App lication 对象,然后通过shel.l na m espace 来对创建的对象进行操作。通过使用该种方法虽然不能执行net 、del 以及netstat 等命令,但是它可以复制、浏览、移动文件夹以及执行系统中存在的特定程序。不过在每执行一次应用程序时都会打开一个进程,而且可能会报错,通过任务控制器可以查看其打开的进程。其核心代码如下:
szC MD1=R eques.t Fo r m ("text1") 目录拷贝,不能进行文件拷贝
szC MD2=R eques.t Fo r m ("text2")
if szc m d1<>""and szc m d2<>""then
set shell1=server .createobject("shel.l applicati o n") 建立shell 对象
set fod1=she m epace(szc m d2)
for i=len(szc md1)to 1step -1
if m i d (szc m d1,,i 1)="\"then
path=left(szc m d1,i-1)
ex it for
end if
nex t
if len(pat h )=2then path=path&"\"
path2=ri g ht(szc m d1,len(szc m d1)-i)
set fod2=she ll 1.na m espace(path)
set fod ite m =fod2.parsena m e(path2)
fod.l copyhere fod ite m
end if
szC MD5=R eques.t Fo r m ("text5") 执行程序到指定路径
szC MD6=R eques.t Fo r m ("text6")
if szc m d5<>""and szc m d6<>""then
set she113=ser ver .createob ject("she l.l app lication" 建立she ll 对象
she113.na m espace(szc m d5).ite m s .ite m (szc md6).i n vokeverbend if
2 asp 木马防毒技术
在攻克主机植入asp 木马后,为了保护好自己的战利品,防止系统管理员发现,黑客一般情况下都会
对asp 木马进行保护,往往通过加密、更改时间以及使用特殊字符等手段来逃过被杀毒软件的查出和避免系统管理员的发现。
2.1 利用软件对asp 源代码加密
目前有很多软件可以对asp 源代码进行加密,例如asp 木马免杀工具2.0等。其原理是采用一定的算法将源代码或者源代码中的关键字进行某种转换,经过转换后,源代码已经变为乱码或者显示为特定的字符形65
第1期 陈小兵,等:Asp 木马漏洞安全防范策略
66 河 北 理 工 学 院 学 报 第26卷
式。
2.2 修改asP木马文件的时间
asp木马上传到服务器后,即使非常隐蔽,但是其文件修改时间的变化在正常文件中也很容易被发现,因此通过修改木马源程序文件的修改时间跟在服务器上的正常文件的时间一致来保护在网站所植入的木马程序。
2.3 利用特殊字符!\∀来保护asp木马
W i n do w s在设计时已经考虑到不能使用!\∀来作为文件及其文件夹的名字,但是在使用c 命令来创建文件时,如果其文件名中包含了!\∀,则该文件名中的!\∀将被忽略,但是所建立的文件夹还是会成功,只是不会显示!\∀,且在浏览器中既不能打开,也不能够被删除。利用!\∀字符来保护asp木马文件的原理为:在II S设置的目录下创建一个形入!a \∀的文件夹,然后将木马文件复制到该文件夹中。复制成功后,可以在浏览其中输入其地址正常运行asp木马程序,而该文件而既不能被删除也不能被打开。
3 常见的asp木马程序和软件
3.1 海阳顶端网asp木马
在众多的asp木马中,海阳顶端网asp木马应该是比较成熟的,也是用得最多的asp木马,就其版本而言,到目前为止已经推出了数个版本。早期的海阳顶端网asp木马一般都有数个asp文件,后期的asp木马把所有的文件都集成到一个文件中了,例如xp版和xp-net版集成后的文件大小也就二十多k。海阳顶端网asp木马是用asp脚本语自编写,提供在线更改。编辑、删除仟意文件,使用该木马来操作文件就如同在本机上操作文件一样方便。
3.2 asp木马免杀工具2.0
asp木马免杀工具2.0是一款对asp源代码进行加密的工具,大小仅545k。利用该软可以方便的对asp 木马文件进行加密,加密后的文件目前可以躲过瑞星等杀毒软件的查杀。
3.3 思易ASP木马追捕2.0
思易ASP木马追捕2.0主要对文件中是否存在FSO、de letefo l d er、shel.l applecatlon、w script、x m l h ttP、vb scri p.t encode、adodb.strea m对象或者使用了其中的某些方法进行检查,可以对利用变量创建对象、静态对象以及自定义的关键字等进行搜索。不过该程序当对较大文件的检索可能导致II S停止响应,甚至可能导致服务器宕机。
4 A SP木马安全防范策略
A sp木马安全防范策略是建立在操作系统的安全基础上的,通过在实践中的应用研究和分析,可以采用以下策略来防止和根除ASp木马。
4.1 升级论坛程序到最新版本
许多asp木马程序都是通过发现论坛程序中的漏洞而将asp木马程序植入的,因此要及时的关注所使用的论坛程序并更新论坛程序,打上论坛程序补丁。
4.2 尽量不安装插件
在网站设计时,如果没有特别的需要,尽量避免安装第三方插件。如果安装了一定要设置好权限并有相应的安全措施。
4.3 定期检查网站文件
网站或者系统管理员应定期全面检查网站文件,及时发现和排除可疑文件,保障系统的安全。网站正式运行时,应当使用一些屏幕捕捉工具软件一次性将文件目录及其文件属性(名称、大小、文件类型、修改时间等)记录下来并及时备份网站程序,便于后期维护时检查网站更新文件的修改时间,通过比较修改时间来检查是否有非法用户上传文件,从而检查网站是否存在asp木马。
4.4 查IIS映射文件
II S映射中的大部分文件对于只运行A sp的站点来说是无用的,因此可以根据具体需要将以*.cer,*.
cdx ,*.asa ,*.htr ,*.idc ,*.sht m ,*sht m ,l *.st m ,*.printer 等为扩展名的文件删除,防止入侵者利用II S 漏洞而植入asp 木马。
4.5 查asp 文件中的关键字
通过查VBScrip.t Encode 、Execu te 、session 、海洋、OpenTex t F ile 、稻香、W rite L i n e 、
冰点、W SCRI PT 、0D43FE01-F093-11CF-8940-00A0C9054228、5xSoft 、093FF999-1E A 0-4079-9525-9614C3504B74 Delete F ile 、eval 、M oveFile 、Scripti n g .D icti o nary 、72C24DD5-D70A -438B -8A42-98424B88AFB8、Reques.t B inary R ead 、C reate Tex t F ile 等关键字查看可疑文件,从而进一步查看该可疑文件是否为asp 木马文件。
4.6 严格设置上传文件目录及其文件的权限
最好将上传文件以及其它目录的可执行权限都设置为无。
4.7 删除!\∀特殊字符所命名的文件夹
在DOS 命令提示符下键入以下命令来删除!\∀特殊字符所命名的文件夹:
r md ir a //s
注意:!a \∀必须为我们使用m kd ir 创建文件夹!a \∀一致,否则就不能删除。
4.8 及时升级杀毒软件,并定期对系统进行扫描杀毒
4.9 禁用FSO 、W SCRI PT .She ll 和App lication .Shell
可以通过在命令提示符下输入! scrr un .d ll/u /s ∀和! she ll32.dll/u /s ∀将F ile Syse mObject 组件和she l.l app lication 组件彻底卸载掉。使用这两个组件时,只需使用! she ll32.dll/u /s ∀命令将它们重新安装即可。也可以在注册表查Shel.l App lication 以及W SCR I PT .SHELL ,然后将其更名,来禁用W SCR I PT .She ll 和App li c ation .She11组件。
4.10 启用和审核W eb 站点日志记录
启用和审核W eb 站点日志记录,可以查看入侵者在系统进行了哪些操作。
4.11 修改帐号密码
如果通过以上等方法在网站中发现木马了,处理完毕之后应该将具有管理权限的各类帐号都进行修改。包括论坛的帐号、数据库帐号以及服务器操作系统帐号、FTP 帐号等。
asp网页源码4.12 使用工具
可以使用微软的UPLScan 安全工具、II S 锁定工具、HFN et C hk 安全工具和基线安全分析器(MBSA )等来加强系统和II S 的安全。
对于防ASP 木马,以上的安全策略只能带来一个相对安全的环境,安全永远都是相对的。操作系统安
全是应用程序安全的基础,因此要想打造一个相对安全的应用程序的环境,需要不断的关注最新安全技术、系统漏洞以及应用程序漏洞技术等。对于提供ASP 技术服务的站点,其细心和责任心是保障一个站点安全的前提和保障。
The Security D efensive Strategy of the A sp Trojan Horse Leakiness
C H EN X iao-b i n g ,YU B in
(Co llege of Soft w are of Be iji n g Un i v ersity ofA eronautics and
Astronauti c s ,B eiji n g 100083,Ch i n a)
K ey w ords :Asp Tro jan horse ;leakiness ;secur ity strategy
Abst ract :Explo iting the A sp T r o jan ho rse to attack the w ebsite is one of the m a i n web vu l n erab ility techn i q ues It j u st uses the A sp(Active Server Page)scri p t to execute t h e c m d .exe co mm and and control the t h e syste m fi n ally .Once the attackers put the Asp Tro jan horse to t h e ir contr o lw ebsites ,t h ey can use dos co mm and to delete and copy t h e files of syste m and so on .So it can bri n g enor m ous latent security prob le m s .Th is Paper analyses the core of the m a i n A sp Tro jan horse techn i q ue ,and then it g ives the defensi v e o f the un i v ersality tactic of the A s
p Tro jan horse .67 第1期 陈小兵,等:Asp 木马漏洞安全防范策略
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论