Bangnie--website construction, website maintenance service provider.

News

防止服务器被挂马的最有效的经验总结

Author:Website construction      AddDate:2016/1/2      From:Bangnie      Hits:15746

服务器有上传漏洞,常规的办法是设置存放文件的文件夹的权限为禁止运行,但对虚拟主机管理员来说很难,因为你不知道用户上传的网站中哪个文件夹是用来存放上传文件的。

有没有更好的办法呢?

相信所有的网站服务器都有可以查杀木马的杀毒软件,但为什么还是被挂呢?

因为木马经常用VBScript.Encode这个组件来加密一些ASP的木马后门以达到免杀效果。

下面介绍禁用VBScript.Encode的方法(使用IIS做为WEB服务器和虚拟主机的用户):
运行regedit打开注册表编辑器,展开至:
HKEY_CLASSES_ROOT/VBScript.Encode
按右键-权限-去除users组读取权限或者是加入虚拟主机用户组的拒绝权限均可
或者是直接删除VBScript.Encode这个注册表项也可,当然这样做我觉得野蛮了点^_^

修改好注册表后,重启IIS,然后我们找个加密后的asp木马来试试,运行后即提示:
 引用内容
Active Server Pages 错误 'ASP 0129'

未知的脚本语言

/ggd.asp,行 1

在服务器上找不到脚本语言 'vBScRipt.EncOdE'。

嘿嘿,这下可好,任你ASP木马怎么做免杀和加密,传到我的服务器上就毫无用处啦。
经过这样设置后,一般对正常的ASP文件运行均无影响,需要用到加密的,经常是asp后门还有就是一些见不得阳光的东西,所以说负面影响很小。

还有一些程序的作者也会在ASP中使用加密以达到保护版权的目的,但是其实VBScript.Encode的加密功能非常弱,很容易被人还原出源代码,而在asp后门免杀领域,它又被用的最多,那么我们自然很容易想到可以通过禁用VBScript.Encode这个组件来实现是加密脚本失效的目的,从而可以使很多免杀的asp木马毫无用武之地。

嘿嘿,服务器安全方面小小的技巧,刚刚想到的,特意写出来与大家分享下。

Related Information