四、网页木马的防御和清除
1、防御网页木马,服务器设置非常重要,反注册、卸载危险组件:(网页后门木马调用的组件)
(1)卸载wscript.shell对象,在cmd先或者直接运行:
regsvr32 /u %windir%\system32\WSHom.Ocx
(2)卸载FSO对象,在cmd下或者直接运行:
regsvr32.exe /u %windir%\system32\scrrun.dll
(3)卸载stream对象,在cmd下或者直接运行:
regsvr32.exe /u /s "C:\Program Files\Common Files\System\ado\msado15.dll"
注:如果想恢复的话只需重新注册即可,例如:
regsvr32 %windir%\system32\WSHom.Ocx
2、清理网页挂马(1)利用雷客图ASP站长安全助手查找所有在2008-3.1日-2008.3.5日之间所有修改过的文件里是否有iframe语句和http://www.xxx.com/a.htm关键词,进行手工清理。
(2)也可利用雷客图ASP站长安全助手批量删除网马。
(3)检测JS文件,在2008-3.1日-2008.3.5日之间增加的JS文件全部删除。(图9)
从分析报告可以看到网站的admin路径下发现lb.asp网页木马,经分析为老兵的网页
木马。(加密后依旧能通过特征码分辨,推荐网站管理员使用雷客ASP站长安全助手,经常检测网站是否被非法修改。)
提示:雷客图ASP站长安全助手可以帮助站长分析网站的安全状况,但是一定要更改它的默认用户名和密码。
3、解决eWEBEditor编辑器安全隐患由于网站在开发时集成了eWEBEditor编辑器,删除或者替换容易导致其他问题的出现,推荐按如下方案解决:
(1)修改该编辑器的默认数据库路径和数据库名,防止被
黑客非法下载。
默认登录路径admin_login.asp 默认数据库db/ewebeditor.mdb
(2)修改编辑器后台登录路径和默认的登录用户名和密码,防止
黑客进入管理界面。
默认帐号admin 默认密码admin或者admin888(图10)
(3)对Upload.asp语句进行修改,防止
黑客利用其上传ASP
木马从而获得WEB权限。
对上传语句现在进行修改:
将原来的:
sAllowExt=Replace(UCase(sAllowExt),"ASP","")
修改为:
sAllowExt=Replace(UCase(sAllowExt),"ASP",""),"CER",""),"ASA",""),"CDX",""),"HTR","")
增加上传对cer、asa、cdx、htr文件类型的限制,因为这些类型的文件都是可以执行的文件,可以被攻击者利用进行对网站及其服务器进行危险操作的文件类型。
总结:网页后门和网页挂马是网站最大的敌人,他们对网站的危害几乎是毁灭性的。网站管理员们只有了解了其原理、掌握防治技术才能保护网站的安全。
上一页 [1] [2] [3]
[图文]完全解析网页后门和挂马
您现在的位置: