打造安全的ASP网站——新手站长轻松查杀网站木马
站长空间
当个人网站在网络中赢得鲜花、喝彩声、人气值的时候,同时也会招惹很多木马。对于ASP木马,站长们都不陌生,很多朋友都深受其害,如何查找出网站中的ASP木马呢?在网站空间里添加硬件、软件防火墙,当然有效,不过过高的价格和复杂的操作让人望而却步。本文介绍一种方法,利用雷客图ASP站长安全助手打造一个安全的网站,虽然没有专业防火墙管用,但是这种方法操作简单,能防范大多数的ASP木马,适合于用ASP建站的新手站长朋友。
一、搭建安全平台
首先到http://download.cpcw.com下载雷客图ASP站长安全助手,将解压后的文件用FTP的方式上传至网站根目录中,为了便于管理,将所有的文件放在一个固定的文件夹中,比如“AspScan”,然后在浏览器中输入“http://网站url/AspScan/index.asp”打开后台登录界面,输入管理员密码“admin888”登录进雷客图ASP站长安全助手的管理界面。注意admin888是程序的默认密码,在登录成功后,一定要修改成自己的密码。
二、搜索ASP木马
点击左侧“菜单”中的“查找ASP木马”打开查询页面(图1),其中的“检查路径”指的是欲搜索的范围,如果输入“.”,它表示的是程序所在目录;而“\”代表的则是则整个网站。这里要注意的是,如果网站有很多板块,最好不要用“\”进行搜索,因为目录中文件较多,一则耗费很多时间,二则容易引起IIS停止响应。可以分重点或按目录进行搜索,比如BBS板块,就输入“\bbs”进行搜索。
笔者在BBS中存放的“一句话木马”、“变形木马”、“加密木马”、“最新海洋2006P”等ASP木马全被它查了出来(图2),除了这些木马外,凡是采用了特殊组件的文件,如“WScript”和“ Application”等,也会被它搜出来。大家所看到的这些ASP木马,是以中文字符显示的,所以一眼就认出来了,但实际上,ASP木马的名称都设置得很巧妙,比如admin_sys.asp,或admin_users.asp,或用1代替l,用0代替O,用各种各样的名称来迷惑我们的眼睛,如何从这些文件中,区分出ASP木马呢?可通过以下方法进行操作。
1.按日期查找
当一个文件被修改后,其“修改时间”也会被更改为当前的时间,根据这个特点,在“可疑文件搜索”中的“修改日期”内输入不同于正常文件的“修改时间”,所搜索出的文件,很有可能就是木马的帮凶。
2.按内容查找
一般情况下,文件被修改后,其“修改时间”会随之变化,但使用一些专门的工具,比如“海洋2006”或“icyfox-time”又能将木马的修改时间改为正常文件的时间,所以用“修改时间”并不能完全查找出可疑文件。在这样的情况下,我们还可以用木马的特征字符作为关键字进行搜索,比如有些变形木马会使用“+”来连接字符串,那我们就在“可疑文件搜索”中的“查找内容”内输入字符“+”,将“修改日期”改为“ALL”(任意日期),这样所有包含“+”字符的文件全部搜了出来(图3)。
3.揪出真凶木马
通过上面两种方法,会找出很多可疑文件,其中,有的是新增加的文件,有的是对已有文件进行了修改。如何验明正身呢?通过FTP将这些文件拉到本地的一个文件夹内,先用“名称”同本地的正常文件进行对比,这样,凡是新增的文件就找出来了,然后用“Windows”的内置程序FC进行对比,其命令格式是:FC [Drive:][Path]FileName1 [Drive:][Path]FileName2。把剩余的文件同本地的正常文件逐一对比,在比较“chklogin.asp”时,发现网站中的文件内增加了万能登录代码(图4)。
三、快速查找木马
如果我们的网站是初次运行,或者我们已将网站中的ASP木马清扫干净,这时,大可不必用过多的时间来彻底查杀木马,可以使用“文件窜改检查 ”中的“提取信息”功能来快速操作。将当前网站中的文件信息全部保存下来,默认的提取文件类型是“asp,aspx,cer,asa,cdx,shtml,shtm,stm,htm,html,js”,如果觉得范围小,就用“*”提取所有文件。而“文件目录”和“查找ASP木马”中的设置方法是一样的,“.”表示当前目录,“\”表示的是整个网站,也可以输入欲提取目录的相对路径。
在程序执行完提取信息后,会弹出一个“文件下载”窗口,将此TXT文件保存到硬盘或U盘中。定期或在网站有异常情况时,将保存的TXT文件上传至网站目录中,然后将“校验信息”中的文件名称改为上传后的TXT文件名,最后单击“提交”,程序就会把当前网站中的文件信息同TXT中的文件信息进行对比,凡是不在TXT文件中备案及文件信息(容量、修改时间)发生变化的就会被校验出来,这样一来,谁是ASP木马就很明显了!