這段時(shí)間發(fā)現幾例客戶(hù)網(wǎng)站被黑的情況,而這幾個(gè)網(wǎng)站出現的情況都是網(wǎng)站根目錄多出一個(gè)文件,名稱(chēng)是global.asa。下面我們就global.asa木馬做一下專(zhuān)門(mén)分析:
一、網(wǎng)站被掛global.asa木馬的危害
網(wǎng)站如果被掛global.asa木馬,如果對于一個(gè)不懂網(wǎng)絡(luò )營(yíng)銷(xiāo),不懂網(wǎng)站優(yōu)化的人來(lái)說(shuō),基本上沒(méi)有任何影響,因為global.asa木馬一般不會(huì )影響網(wǎng)站的正常運行,黑客一般利用global.asa木馬不是為了來(lái)破壞網(wǎng)站的運行,他們與網(wǎng)站黑鏈類(lèi)似,一般是對網(wǎng)站的搜索引擎收錄產(chǎn)生非常惡劣的影響。常表現為搜索引擎收錄大量莫名其妙的網(wǎng)站標題,而這些標題絕對不是自己網(wǎng)站發(fā)布的內容,點(diǎn)擊鏈接進(jìn)入的依然是本網(wǎng)站的頁(yè)面,但標題不同,點(diǎn)擊百度快照發(fā)現百度提示:“對不起,您所查看的網(wǎng)頁(yè)不允許百度保存其快照,您可以直接訪(fǎng)問(wèn)某某網(wǎng)址”,沒(méi)錯!這說(shuō)明你的網(wǎng)站已經(jīng)中招了!它的直接后果是網(wǎng)站在搜索引擎的排名下降或者徹底消失,嚴重的還會(huì )讓訪(fǎng)問(wèn)者在訪(fǎng)問(wèn)你的網(wǎng)站的時(shí)候電腦中毒!
二、黑客為什么用global.asa來(lái)命名木馬文件
要想弄清楚黑客為什么用global.asa來(lái)命名木馬文件,我們必須先了解一下global.asa文件是什么。我們可以在百度百科看到專(zhuān)家給出的介紹是:Global.asa 文件是一個(gè)可選的文件,它可包含可被ASP 應用程序中每個(gè)頁(yè)面訪(fǎng)問(wèn)的對象、變量以及方法的聲明。所有合法的瀏覽器腳本都能在Global.asa 中使用。 Global.asa 中,我們可以告知application 和session 對象在啟動(dòng)和結束時(shí)做什么事情。完成此項任務(wù)的代碼被放置在事件操作器中。
從上面的介紹中,我們應該可以得出結論:global.asa木馬其實(shí)就是一種腳本木馬。那么黑客為什么要用global.asa來(lái)做木馬呢?這正是因為global.asa文件是一個(gè)非常特殊的文件,他可以調用很多程序,黑客可以在訪(fǎng)客訪(fǎng)問(wèn)網(wǎng)站的時(shí)候實(shí)現調用轉跳命令的功能。
三、global.asa木馬的實(shí)現原理
我們了解到Global.asa文件主要基于會(huì )話(huà)級事件被訪(fǎng)問(wèn),在以下三種情況下被調用:
1,當Application_OnStart或Application_OnEnd事件被觸發(fā)。
2,當Session_OnStart或Session_OnEnd事件被觸發(fā)。
3,當引用一個(gè)在Global.asa文件里被實(shí)例化的對象(Object)。
正因為global.asa 文件是網(wǎng)站啟動(dòng)的文件,當網(wǎng)站被用戶(hù)訪(fǎng)問(wèn)的時(shí)候,會(huì )執行Application_Start代碼段的內容,當一個(gè)用戶(hù)第一次訪(fǎng)問(wèn)時(shí)會(huì )執行Session_Start代碼段的內容,所以很多Global.asa文件的作用就是當訪(fǎng)問(wèn)的時(shí)候自動(dòng)下載獲取木馬內容,也就達到了轉跳URL的效果。
四、如何解決global.asa木馬
1、徹底檢查自己網(wǎng)站的FTP,清理掉FTP內的global.asa文件(可能有部分虛擬主機用戶(hù)自己無(wú)法刪除該網(wǎng)站,可聯(lián)系服務(wù)商技術(shù)人員為你刪除)
2、聯(lián)系服務(wù)商,告知服務(wù)商的服務(wù)器存在風(fēng)險,通常黑客不會(huì )單獨上傳某個(gè)網(wǎng)站global.asa木馬的,而是通過(guò)掃描整個(gè)服務(wù)器批量上傳global.asa木馬,如果你的網(wǎng)站中招了,那么整個(gè)服務(wù)器內肯定還有其他網(wǎng)站同樣也中招了!
3、加強網(wǎng)站FTP權限限制,禁止FTP寫(xiě)入功能,做好是不用FTP,直接禁止FTP的使用。
4、檢查自己網(wǎng)站程序是否存在漏洞和風(fēng)險,在這里我特別強調一點(diǎn),不要貪圖小便宜去網(wǎng)上下載一些免費的源碼和模板,有些黑客正是利用了你們喜歡占小便宜的心理,而特意在網(wǎng)站源碼中留下了后門(mén)程序,然后免費發(fā)布到各種資源下載網(wǎng)站,這是一枚定時(shí)炸彈!天下沒(méi)有免費的午餐,你免費拿走了源碼必然有一天會(huì )還回來(lái)的,而那個(gè)時(shí)候你付出的將是慘痛的代價(jià)!甚至是淘寶出售的很便宜的源碼也不可信!