黑客在通过脚本技术入侵服务器后,往往会在网站上放置一些网页木马后门,因此要保证网站的安全,严防各种木马后门,进行检测与防范是一个很重要的方面。

    一,删除各种脚本对象以禁止 ASP 木马运行

常见的海洋顶端木马、冰狐浪子、ASP 站长管理助手等,在使用时要实现一些功能一般要调用到 FSO 对象、ADODB.STREAM等,如果在服务器上删除了这些对象,也能从一方面起到防范攻击者进一步渗透入侵的目的。

(1) 禁用 FSO 对象

FSO 对象即 File System Object(文件系统对象),一般的网络脚本病毒的复制、传播等都离不开,在防范 SQL 注入攻击时,我们也可以禁用 FSO 对象。操作方法很简单:

单击【开始】-》【运行】命令,输入命令“CMD”,回车后打开命令提示符窗口。在命令提示符窗口中,输入如下命令:

regsvr32 /u scrrun.dll

命令执行后,即可禁用 FSO 对象;如果需要恢复 FSO 对象时,可使用如下命令:

regsvr32 scrrun.dll

命令执行后,即可恢复 FSO 功能。

(2) 禁止 ADODB.STREAM 对象

另外,有很多网页木马是利用“ADODB.STREAM”这个对象来列举出服务器文件目录的,也有的 ASP 木马是用 CLASSID 来创建脚本对象的,因此可以禁这个脚本对象,这样就可以从一定程度上阻止 ASP 木马了。

首先在“开始”--》“运行”中输入“regedit”,打开注册表编辑器。然后展开注册表项目“HKEY_CLASSES_ROOT\ADODB.Stream\CLSID”,在右边的窗口中可以看到“ADODB.Stream”的 CLASSID,是一串十六进制的数值,如“{00000566-0000-0010-8000-00AA006D2EA4}”。

记下这个值,再找到注册表项目“HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32”,在其中找到这个 ActiveX 对应的 dll 文件路径,这里是“c:\program files\common files\system\ado\msado15.dll”。

然后再次使用 Regsvr32 卸载掉这个文件,在“开始”--》“运行”窗口中输入命令:

regsvr32 /u "c:\program files\common files\system\ado\msado15.dll"

执行后即可将 ADODB.STREAM 卸载掉了。需要时可以再次使用 regsvr32 将其恢复。当然也可以直接将“msado15.dll”文件改名,或者删除掉注册表中的“HKEY+CLASSES_ROOT\ADODB.Stream\CLSID”项目。

此外,国内著名的杀毒软件公司瑞星还提供了一个专门用来删除 ADODB.STREAM 对象的工具。

运行该软件后,单击界面中的【隔离 Stream 对象】按钮后,软件就会自动完成 ADODB.STREAM 对象的禁用工作;如果重新需要使用该对象时,就可以单击【恢复 Steamd 对象】按钮将其恢复。

    二,网页木马后门查找工具

如果网站中存在没有发现的脚本攻击入侵漏洞,那么有可能被入侵者攻击并上传了网页木马后门在自己的网站中。如何从中揪出攻击者隐藏的 ASP 木马后门呢?

防范入侵者植入网页木马,可以使用一个叫做“思易 ASP 木马追捕 v2.0”的程序。该工具是一个 ASP 网页文件,将其上传到网站空间中后打开该网页。

在网页中有两个输入框,在“检查的文件类型”中可以选择要检测的网页文件,默认是检查所有类型;在“增加搜索自定义关键字”中可以输入要搜索的关键词,比如“execute request,execute session,eval”单击确定按钮后,即可对当前网站目录下的指定类型的文件进行检测,列出存在检测代码的网页。