大家都知道ASPCMS已經(jīng)停更有幾年了,但是使用的人還有很多,還有一批忠實(shí)的擁簇就喜歡用ASPCMS的程序,并且很多網(wǎng)絡(luò)公司及網(wǎng)站制作外包團(tuán)隊(duì)都在使用aspcms程序來(lái)制作網(wǎng)站,任何一個(gè)開(kāi)源程序一旦使用的人比較多的時(shí)候就會(huì)有一些黑客開(kāi)始研究這些系統(tǒng)的漏洞。
現(xiàn)在網(wǎng)絡(luò)上已經(jīng)有很多黑客公布的一些漏洞攻擊教程,以及一些常見(jiàn)的漏洞利用方法,雖然aspcms官方的版本已經(jīng)更新并且修復(fù)了大部分的已知bug,但是一些通用的漏洞還是無(wú)法解決的,比如aspcms后臺(tái)創(chuàng)建模板的時(shí)候可以直接創(chuàng)建asp的文件,這樣就很容易的被黑客們利用,所以在aspcms的程序中已經(jīng)限制了模板創(chuàng)建格式,模板只能創(chuàng)建.html、js或者css格式的文件,但是對(duì)于服務(wù)器iis版本較低的站長(zhǎng)朋友們來(lái)說(shuō),黑客還是可以通過(guò)創(chuàng)建.asp;.html這種格式的模板來(lái)實(shí)現(xiàn)掛馬的。
現(xiàn)在來(lái)告訴大家一個(gè)最簡(jiǎn)單的而且能夠從根本上解決aspcms程序本掛馬的問(wèn)題,而且也可以徹底解決后臺(tái)漏洞問(wèn)題,畢竟修復(fù)程序?qū)εc大部分的站長(zhǎng)們來(lái)說(shuō)都是一件比較困難而且繁瑣的事情,我們就應(yīng)該直接從服務(wù)器入手,來(lái)做好最基礎(chǔ)的防護(hù)。
原理很簡(jiǎn)單,因?yàn)樗械腶spcms后臺(tái)漏洞的最終掛馬方法都是要在服務(wù)器里邊的asp文件中寫入可執(zhí)行代碼,并且通過(guò)執(zhí)行對(duì)應(yīng)的asp文件來(lái)實(shí)現(xiàn)掛馬,所以我們需要做的就是禁止這些不安全的asp文件執(zhí)行,因?yàn)閍spcms后臺(tái)設(shè)計(jì)的還是比較合理的,在后臺(tái)或者網(wǎng)站前臺(tái)能夠?qū)崿F(xiàn)給服務(wù)器寫入文件的目錄并不是很多,準(zhǔn)確的來(lái)說(shuō)也就4個(gè)文件夾,因此我們只要禁止aspcms程序中4個(gè)文件的執(zhí)行權(quán)限就OK了。
需要禁止執(zhí)行權(quán)限的目錄是: /data/ (如果你修改過(guò)自己的數(shù)據(jù)庫(kù)文件夾名稱,這里修改成你修改后的數(shù)據(jù)庫(kù)文件夾名稱即可) /templates/(也就是aspcms程序的模板文件夾,如果條件允許的話大家最好是把自己的服務(wù)器iis升級(jí)到7.0版本以上) /upload/ (這個(gè)一定要禁止,因?yàn)楹笈_(tái)漏洞很多都是直接向這個(gè)文件夾上傳可執(zhí)行文件來(lái)實(shí)現(xiàn)掛馬的) /config/ (有的站長(zhǎng)擔(dān)心禁止了這個(gè)目錄以后網(wǎng)站程序無(wú)法運(yùn)行,其實(shí)不需要擔(dān)心的,因?yàn)閏onfig這個(gè)目錄不需要執(zhí)行權(quán)限,只要有讀取的權(quán)限aspcms就能正常運(yùn)行) 只要禁止了這4個(gè)文件夾的執(zhí)行權(quán)限以后,你的程序基本上就不會(huì)再被掛馬了,起碼目前網(wǎng)絡(luò)上流行的aspcms漏洞還沒(méi)有超過(guò)這4個(gè)文件夾的。前三個(gè)文件夾相信站長(zhǎng)們都在知道原因的,但是最后一個(gè)config文件夾估計(jì)很多一部分站長(zhǎng)都不知道問(wèn)什么要禁止的,因?yàn)樵赼spcms程序后臺(tái)修改幻燈片的時(shí)候,其實(shí)是會(huì)在config文件夾寫入代碼的,如果這時(shí)候黑客們通過(guò)在幻燈片提交頁(yè)面做簡(jiǎn)單的代碼修改就可以把一句話木馬注入到config/AspCms_Config.asp這文件中,所以我們還是要禁止這個(gè)文件夾的執(zhí)行權(quán)限比較安全。
站模板-10.jpg)
站模板-20.jpg)
站模板-16.jpg)
站模板-4.jpg)