• “阿里、腾讯、微软、苏宁、京东、电信”合作服务商
  • 028-658861117X24热线:18080923400
当前位置:护卫神 > 技术杂谈

关于可疑文件木马

时间:2011-01-01 20:15:01

1、什么是可疑文件木马?

 

    由于一般上传组件和IIS服务器对文件扩展名的判断规则不同,导致了可以被黑客轻易绕过这些检查的文件诞生,这类危险文件,被护卫神定义为“可疑文件木马”。如文件名类似 (xxx.asp;xx.jpg、xxx.asp;.jpg)之类的,绝大部分都是木马文件!

 

2、可疑文件木马出现的原因是什么?

 

    一般的网站都开启了上传功能,允许用户上传比如:.jpg、.gif、.doc等图片或文件,丰富网站功能。但是带来便利的同时,也带来了极大的安全隐患!

 

    这些上传组件(比如:化境无组件上传、无惧上传类等)都只是简单的验证了上传文件的扩展名,比如允许(.jpg、.gif、.doc)等,其余均不允许上传。一般情况下,这种简单的验证也就够了,但是,IIS解释文件的时候,却不是根据这个规则进行解释的!这就造成了被护卫神认为的可疑文件。

 

危害分析:

    1、将文件名为xxx.asp的木马文件,命名为新的文件名:xxx.asp;xx.jpg;

    2、利用组件上传功能,将这个文件上传。上传组件会判断为.jpg图片文件,如允许.jpg文件上传,则可以上传成功;

    3、上传到服务器之后,输入刚上传的木马文件路径,比如 http://www.huweishen.com/uploadfiles/201111346.asp;xx.jpg ,那么,IIS将会作为asp文件,解释并执行其中的木马代码,严重危害服务器数据安全!

 

2、如何处理可疑文件木马?

 

    安装了护卫神软件后,这类可疑文件将会被系统实时隔离出来(如下图),这样保障了服务器的安全。

 

护卫神木马可疑文件

图1  护卫神可疑文件木马日志截图

 

    护卫神提醒您:如果您的网站使用了通用的上传组件,请注意检查该组件上传的权限。为了服务器和网站数据的安全,护卫神软件将是您的最佳选择!