企业安全：不让IIS服务器沦为“肉鸡”

由于技术条件的限制，目前大多数企业网、校园网、个人网站都采用了免费下载的源程序，这些源程序使用虽然方便，但却存在很多的安全隐患。

　　当服务器被上传ASP木马并执行后，黑客可以对文件进行创建、修改、删除、上传、下载，服务器数据毫无安全可言。ASP木马甚至可以运行命令行程序,创建用户账号，安装后门程序，利用系统漏洞可将用户权限提升为管理员权限，此时服务器被完全控制，彻底沦为“肉鸡”。

　　由于ASP木马不同于普通的可执行程序木马，它与正常的ASP文件并无本质不同，只是程序代码具有恶意性，因此很容易进行伪装、修改，夹杂在正常ASP文件中难以分辨，并且ASP木马也很容易被加密，一般杀毒软件都不能彻底查杀，这也是不少网站管理人员头疼不已的问题。从ASP木马入侵需要上传和执行两个步骤出发，笔者总结了一些防范ASP木马的经验和大家分享。

　　及时更新 避免“默认”

　　计算机、服务器之所以存在众多的安全问题，很重要的原因是可供服务器选择安装的操作系统种类较少。Windows、Linux、FreeBSD等，一旦某系统出现新的安全漏洞，则所有安装此系统的服务器都面临威胁，只有及时更新补丁才能解决问题。网站信息管理系统同样存在这样的问题，当一种网站信息管理系统出现安全漏洞时，所有采用该系统的网站也将面临被攻击的危险，所以更新补丁是每个网管人员的必做工作。动态网页代码与操作系统一样，越是与众不同，安全性就越高，对安全性要求特别高的网站服务如网上银行，则绝对需要专门开发系统。代码保密的网络上有将Windows系统的IIS服务伪装成Linux系统Apache服务的做法来迷惑非法入侵者，以提高安全性，将数据库中的数据表、字段命名为不易猜到的名称来有效防范SQL注入攻击，及通过改变服务端口号以拒绝试探性的连接，以提高服务的安全性。服务设置应尽量避免“默认设置”。

　　严控访问权限

　　互联网用户一般都以“Internet来宾账户”访问我们的Web站点，因此严格控制Internet来宾账户的访问权限是非常重要的。一般来说，Internet来宾账户的访问权限应该限制在Web站点目录内，且只具有读取和运行的权限，需要给予写入权限的文件、文件夹应单独设置。若无特殊要求,不应该给网站目录以外的其他目录访问权限，如将各个分区的根目录设置为拒绝“Internet来宾账户”权限时，ASP木马运行后，将无法访问各个分区的根目录，从而保护了其他文件的安全。这在一台服务器包含多个Web站点时，即使一个站点被黑，仍可以保护其他站点的文件安全。当然也可以为每个站点设置不同的Internet访问账户，同样可以起到这样的保护作用。为使IIS服务在最低权限下运行，还需要考虑“启动IIS进程账号”的权限设置，以保证IIS服务的正常工作。访问权限够用就好，决不多给。

　　在Web站点文件中包含程序代码的目录必须给予执行权限，否则网页程序将不能运行，其他的如图片目录则都不应有执行权限，原则上应该是“Internet来宾账户”具有写入权限的目录绝不能给予执行权限，这要求网站目录结构设计时就应该考虑。这样黑客即使利用安全漏洞上传了ASP木马，但由于没有执行权限而无法运行，同样可以起到保护的作用。

　　隐藏或删除无关组件

　　为防范ASP木马对服务器操作系统的入侵，可以删除或隐藏不安全的组件，ASP木马利用的常用组件分别是：FileSystemObject组件、WScript.Shell组件、Shell.Application组件、WScript.Network组件等，对于不需要的组件可以用RegSrv32/u命令删除。需要的组件可以通过修改注册表，将组件改名，或利用用户权限来控制“Internet来宾账户”对这些组件文件的访问。

　　ASP木马程序在管理员严格的权限控制之下，是可以防范的。及时更新补丁，严格控制“Internet来宾帐户”访问权限，可以尽可能避免ASP木马被非法上传，通过细致的网站目录执行权限控制，可以避免大部分ASP木马的运行，而不安全组件的隐藏、删除及访问权限设置，又可以将ASP木马运行后的危害大大降低。严格、综合、全面的权限体系将使黑客利用ASP木马入侵Web站点的阴谋无法轻易得手。