对待ASP网站的攻击,黑客一般会使用ASP木马如海洋顶端ASP木马进行入侵。其实我们只要采取一定的措施就能够有效预防ASP网站被入侵事件的发生。本文重点讨论ASP网站如何防御ASP木马。文中案例所使用的ASP网站平台是在国内有着广泛用户群的动易网站管理系统免费版以及动网论坛免费版,具有一定的代表性。
适合读者:网管、安全爱好者
预备知识:ASP编程
小知识:什么是ASP木马
它是用ASP编写的网站程序。它和其它ASP程序没有本质区别,只要是能运行ASP的空间就能运行它,这种性质使得ASP木马非常不易被发觉。就算是优秀的杀毒软件,也未必能够检测出它到底是ASP木马还是正常的ASP网站程序。这也是为什么ASP木马猖獗的原因。
ASP木马入侵原理
要预防木马的入侵,就要先了解入侵的原理。想通过ASP木马入侵,必须先将木马上传到目标空间,然后直接在客户端浏览器里面运行木马,接着就可以进行文件修改、目录删除等等具有破坏性的工作。
黑客入侵ASP网站一般使用两种方式:
第一种是上传木马后,利用木马以及操作系统漏洞在Windows启动项里添加一个批处理文件,用来添加管理员账号,然后用管理员账号停止防火墙运行和进行文件修改删除等操作。
第二种是上传木马后,直接通过木马删除网站里面的目录和文件。Www.iTcOmpuTeR.COM.cn
找准关键对症下药
通过分析可以发现,我们提到的两种入侵方式都是利用ASP网站的上传功能,先上传木马,然后借助木马对文件进行修改删除等操作。简单说来,要做的第一步就是阻止ASP文件的上传;其次,如果被上传了ASP木马,就要杜绝木马的运行。
ASP木马本身就是个ASP文件。所以很关键的一点是限制ASP文件的上传。一般ASP网站本身就有文件上传功能,并且默认是限制了ASP文件的上传,不过黑客能够想方设法上传他们的木马文件。
国内较多见的就是使用桂林老兵网站上传利用工具(图1),可以先将木马文件的扩展名改为JPG或者GIF,进行上传,然后再改回ASP文件。针对这种方法我们该怎么办呢?
安全与便捷并行
什么是宏病毒 由于宏病毒经常在办公软件Office中出现,给广大用户造成不小的损失。笔者发现,通过以下三招可以远离宏病毒(本文以Word为例)。
第一招:设置宏安全级别
打开Word,选择“工具→选项→安全性→宏安全性”命令。这样就打开了宏的安全级别属性设置选项,将安全级别由默认的“高”修改为“非常高”,最后单击“确定”即可。这样可以防止除Word默认的宏以外的其他宏运行。
第二招:运行宏病毒自动提示
打开Word,选择“工具→选项→安全性→宏安全性”命令,单击“可靠发行商”标签,取消选择“信任所有安装的加载项和模板”复选框,然后单击“确定”即可。这样当打开含有宏的Word文档时,就会提示宏已被禁止。当然,也可能让正常的宏使用受到限制。
第三招:卸载VBA彻底预防宏病毒
VBA全称是Visual Basic for Application,它是Microsoft Visual Basic 的宏语言版本。用于Windows应用程序的宏。是Word中宏的支持工具包,一旦禁用此包,一些自定义模板和所有的宏将不可用。
具体方法:双击“控制面板”中的“添加/删除程序”图标,找到Microsoft Office的安装项,单击“更改”按钮,选择“添加或删除功能”选项后,单击“下一步”按钮,在弹出来的窗口选“选择应用程序的高级自定义”复选框,再单击“下一步”按钮,这样,就可以选择删除该工具包。
在打开的Office程序及附加内容和工具中单击“Office共享功能”前的加号,找到“Visual Basic for Application”,单击前面的驱动器图标,选择“不安装”按钮即可。
经过以上三招,宏病毒将会远离你的Office了,这里是以Word为例介绍的,其实对Excel也同样适用。
什么是网络钓鱼
小杰酷爱网络技术,对“网络钓鱼”早有耳闻,一次偶然的机会,他在某游戏平台进行游戏时收到了一条“网络钓鱼”信息,为了找出真相,他扮演了“上钩者”,对这次“钓鱼攻击”进行刺探,直到完全揭穿“钓鱼者”的阴谋。
收到“幸运”信息 引诱用户上钩
小杰在某游戏平台进行游戏时,平台信息窗口中出现了一条“诱人”的信息:“尊敬的××游戏平台用户,您好,您已被系统选中,成为了当日的幸运大玩家,请联系客服QQ:(××××××××)咨询领取您的奖品”(图1)。这是一条很明显的“网络钓鱼”信息,小杰在其他地方多次收到过类似的信息,所以并不会相信所谓的中奖信息,而且从中也可以找到“钓鱼者”的破绽,为找出“钓鱼者”的真实目的,小杰随着“钓鱼者”的思路扮演了一次“上钩者”。 高手支招:在很多类似的游戏平台或游戏中,对用户发出通知消息的系统账户通常显示为“客服”、“系统”等词汇,因此当用户看到带有以上词汇的用户发布消息时,往往会以为是系统发出的消息,其实要注册一个这样的账户是很容易的。使用这样的账户进行钓鱼攻击更容易使用户上钩。其实我们平时只要多注意一下真正的系统客服账户和伪造的账户之间的区别,就可以很容易地识破“钓鱼者”的骗局。如果还不能确认,可以查询一下对方的账户资料,一般都有漏洞可寻。
精美“钓鱼”页面 破绽降到最低
收到的“钓鱼”信息没有直接给出领奖地址,而是提供了一个所谓的“客服”QQ号码,这很明显是“钓鱼者”的QQ号码。加该QQ为好友后,“客服”提供了一个领奖地址,打开该页面后出现一个活动页面——战队赛基金,页面做得很漂亮也很整齐,不像一般“钓鱼”页面粗制滥造。内容无非是为了感谢广大玩家的支持,将进行抽奖活动,而奖品也十分诱人“人民币5888元和价值4577元的诺基亚手机一部”。
高手支招:“网络钓鱼”页面的地址往往很长,这也是一眼就可以识破的破绽。例如“战队赛”基金的页面地址为“http://free6.savalo.com/woqq/***.htm”(图2),将网址子域名和后面的部分去掉,只剩下“http://savalo.com/”,打开后出现的是一个其他的网站。很明显,页面是放在免费空间上的。试想一下,诺大的腾讯公司举办活动怎会把网页放在免费空间上?如果“钓鱼者”的目的不在于获取你的重要信息,而是在页面中加入网页木马,那么危害性将更为巨大。 其二,上文中提到的“客服”QQ号码是一个9位数的普通QQ,作为一个腾讯公司举办的活动,其客服QQ应该是10000才对。
填写无关个人资料 减少用户警惕
如果没有从上面的现象中得知这是一次钓鱼攻击,那么“钓鱼者”就已经成功了一半。点击页面最下方的“点击进入专区”,会出现一个填写个人资料的页面,填写正确后才能进入到下一步,如果填写错误则会弹出“您填写的资料有误,请正确填写”的对话框。在这个页面中没有要求填写密码类的资料,由此可见“钓鱼者”为了降低“上钩者”的警惕度,故意设置了这样的一个页面。可见“钓鱼者”的真实目的并不在于获取“上钩者”者的信用卡密码等信息。
高手支招:一般的“钓鱼攻击”在这一步就会露出真面目,会要求你填写自己的信用卡密码或其他的重要信息。但是随着网友安全意识的普遍提高,对于填写信用卡之类的信息比较谨慎,因此想用“钓鱼”攻击来获取信用卡资料比较困难,反而容易引起怀疑。
奖品邮寄要邮费 真实目的显现
填写完所有的资料后进入下一步,这时会弹出一个对话框“恭喜您,您填写的资料已被系统记录在电脑里”(图3),然后就跳转到一个获奖界面,提示已经获得了上面提到的两项奖品。接下去就出现了“钓鱼者”的真实目的。页面中提示奖品的邮寄和奖品的税费共需要488元,而必须先交清这笔所谓的“邮费”才能得到以上奖品。因此小杰找到了“客服”,对邮寄费用进行了咨询,提出邮费可否从奖品中扣除的要求,结果被告知如果想要得到以上奖品,必须先付清邮费。 高手支招:至此,“钓鱼者”的真实目的已经完全暴露,利用人们喜欢贪小便宜的心理,从而骗取所谓的“邮费”。而奖品只是一个诱饵,使“上钩者”者真的以为自己中了大奖,从而心甘情愿地付出这488元的邮费,奖品在这里扮演了一个“鱼饵”的角色。如果对“网络钓鱼”稍有认识,就应该在这一步中了解到“钓鱼者”的目的,中奖后需要你交纳不菲的邮费这一点是相当不合理的,也极少有正规公司举办活动会这样做。
简单防范 把“网络钓鱼”拒之门外
通过网络传播看似权威或者官方的信息,骗取上网者的敏感资料如银行账号、密码等行为称之为“网络钓鱼”。
“网络钓鱼”虽然是最近几年才出现的一种新的攻击方式,但是使用的技术并不深奥,只是使用了社会工程学原理,利用人们的心理弱点进行欺骗。因此只要了解了这方面的知识,提高自己的安全意识,就可以完全避免“钓鱼攻击”。
“网络钓鱼”的目的已经不再注重获取敏感信息,而是向着骗取现金的方向发展,或者在“钓鱼”页面插入网页木马,使“上钩者”的电脑成为 “肉鸡”。因此,防范“网络钓鱼”攻击可以从以下几点入手:
一、中大奖的概率是很小的,如果真中了奖,应该多查询一下该活动的资料,确认无误后再进行下一步操作。
二、域名是不可信的,因为“钓鱼者”很可能使用域名劫持技术,当你在著名门户网站填下自己的重要密码信息时,你的信息已经落在了“钓鱼者”的手中。因此尽量在浏览器中直接输入该网站地址,而不要点击别处的链接。
三、在不能完全确认网站安全的情况下,应该多查看一下网站的源文件,也许会在其中找到破绽。同时千万不能将自己的信用卡密码和其他密码填在网站上,因为很少有网站需要你的密码信息。
From:http://www.itcomputer.com.cn/Article/Network/201309/984.html