10秒后自動關(guān)閉
關(guān)于可疑文件木馬

1、什么是可疑文件木馬?

 

    由于一般上傳組件和IIS服務(wù)器對文件擴(kuò)展名的判斷規(guī)則不同,導(dǎo)致了可以被黑客輕易繞過這些檢查的文件誕生,這類危險文件,被護(hù)衛(wèi)神定義為“可疑文件木馬”。如文件名類似 (xxx.asp;xx.jpg、xxx.asp;.jpg)之類的,絕大部分都是木馬文件!

 

2、可疑文件木馬出現(xiàn)的原因是什么?

 

    一般的網(wǎng)站都開啟了上傳功能,允許用戶上傳比如:.jpg、.gif、.doc等圖片或文件,豐富網(wǎng)站功能。但是帶來便利的同時,也帶來了極大的安全隱患!

 

    這些上傳組件(比如:化境無組件上傳、無懼上傳類等)都只是簡單的驗證了上傳文件的擴(kuò)展名,比如允許(.jpg、.gif、.doc)等,其余均不允許上傳。一般情況下,這種簡單的驗證也就夠了,但是,IIS解釋文件的時候,卻不是根據(jù)這個規(guī)則進(jìn)行解釋的!這就造成了被護(hù)衛(wèi)神認(rèn)為的可疑文件。

 

危害分析:

    1、將文件名為xxx.asp的木馬文件,命名為新的文件名:xxx.asp;xx.jpg;

    2、利用組件上傳功能,將這個文件上傳。上傳組件會判斷為.jpg圖片文件,如允許.jpg文件上傳,則可以上傳成功;

    3、上傳到服務(wù)器之后,輸入剛上傳的木馬文件路徑,比如 http://m.smartrecovery.cn/uploadfiles/201111346.asp;xx.jpg ,那么,IIS將會作為asp文件,解釋并執(zhí)行其中的木馬代碼,嚴(yán)重危害服務(wù)器數(shù)據(jù)安全!

 

2、如何處理可疑文件木馬?

 

    安裝了護(hù)衛(wèi)神軟件后,這類可疑文件將會被系統(tǒng)實時隔離出來(如下圖),這樣保障了服務(wù)器的安全。

 

護(hù)衛(wèi)神木馬可疑文件

圖1  護(hù)衛(wèi)神可疑文件木馬日志截圖

 

    護(hù)衛(wèi)神提醒您:如果您的網(wǎng)站使用了通用的上傳組件,請注意檢查該組件上傳的權(quán)限。為了服務(wù)器和網(wǎng)站數(shù)據(jù)的安全,護(hù)衛(wèi)神軟件將是您的最佳選擇!