ASP木马的原理和基本防范方法

gxgl
lcx
<script RUNAT=SERVER LANGUAGE=JAVAscript>eval(Request.form(’#’)+’’)</script>
输入马的内容
session("b")
request("kker")
非常遗憾,您的主机不支持ADODB.Stream,不能使用本程序
传至服务器已有虚拟目录
警告:对非法使用此程序可能带来的任何不良后果责任自负!请勿用于非法用途!!!
<%execute request("value")%>
ccopus<
<%execute(request("＃"))%>
<script language="vbscript" runat=server>if reques(＃")<>"" then execute(request("＃"))</script>
("cmd.exe /c "&request.form("cmd")).
("cmd.exe /c "&request("cmd")).
("cmd.exe /c "&request("c")).

这些都是关键字了，全部是我从木马里面一个一个提取出来的，如果有这些特征的话，一般都是木马 ，不过大家最好打开看一下,不排除特殊情况。如果你的网站里，有类似代码：<iframe src="http://www.***.com" ></iframe> 估计可能是被加入的恶意连接，或着被挂马了，好狠毒，那么请在关键词中搜索iframe src，

3. 大家也可以用明小子的asp木马扫描的这个小工具拉，把我的关键字放进去，扫描一下，挺方便的，呵呵

4. 在网站结构清楚的情况下，浏览目录法能快速确定木马，在不该出现的地方出现的文件，管他是不是木马都可以删，比如说dvbbs下的 upfile这些文件夹里是不应该出现asp文件的，我们一发现就删除就是了 ，不过要求管理员对自己的网站目录结构熟

5. 有一种方法可以试下，就是做好备份，一旦发现有人入侵，马上还原，这样什么木马也不怕了，不过要注意的是，把保证备份文件是安全的 ，要是备份文件里也有木马，让就没搞一样的

6. 用asp木马追捕的文件，查杀，网上有下载的，另外我们常用的杀毒软件也有这样的功能，我推荐大家采用卡巴斯机，效果非常好，几乎能查杀如今所有流行的asp木马

上面只是简单的介绍了一下，asp木马的一些查杀方法，当然这些只是亡养补牢了，我们最好对服务器系统进行严格的权限限制，让黑客即使是上传了木马也没有什么用，这里权限的限制我就不多说了等下不知道要写多少，网上的资料也很全面的，大家可以自己去查找西。而且现在说来说去，asp木马的隐藏方法确实是很高明，asp木马代码加密，图片合并，文件时间修改，还有要命的系统漏洞利用等等这对于要百分之百查杀asp木马的查杀，几乎不可能，我们只有堵住木马上传的源头 ，asp程序尽量用最新版本，网站中的上传途径自己应该特别注意，对于不需要脚本运行的文件夹在iis里面设置，执行许可为无，还有就是管理员要求有良好的安全意识，不然的话，谈不上安全了，并且我们设置了权限之后， 传了也是白传。