IIS6目錄檢查安全漏洞的解決

一 、 Windows 2003 Enterprise Edition IIS6 目錄檢查漏洞的描述
    1、Windows 2003 Enterprise Edition是微軟目前主流的服務(wù)器操作系統(tǒng)。 Windows 2003 IIS6 存在著文件解析路徑的漏洞，當(dāng)文件夾名為類似hack.ASP的時(shí)候（即文件夾名看起來(lái)像一個(gè)ASP文件的文件名），此時(shí)此文件夾下的任何類型的文件都可以在IIS中被當(dāng)做ASP程序來(lái)執(zhí)行。這樣黑客即可上傳擴(kuò)展名為.jpg或.gif之類的看起來(lái)像是圖片文件的木馬文件，通過(guò)訪問(wèn)這個(gè)文件即可運(yùn)行木馬。
    2、 擴(kuò)展名為.jpg/.gif的木馬檢查方法：
    在資源管理器中使用詳細(xì)資料方式，按類別查看。點(diǎn)“查看”菜單－－“選擇詳細(xì)信息”－－勾選上“尺寸”，確定。此時(shí)，正常的圖片文件會(huì)顯示出圖片的尺寸大小，如果沒(méi)有顯示，則99%可以肯定是木馬文件。用記事本程序打開(kāi)即可100%確定.
    3、 漏洞影響的范圍：
    安裝了IIS6的服務(wù)器(windows2003)，漏洞特征網(wǎng)站的管理權(quán)限被盜、導(dǎo)致網(wǎng)站被黑。因?yàn)槲④浬形窗l(fā)布這個(gè)漏洞的補(bǔ)丁，所以幾乎所有網(wǎng)站都會(huì)存在這個(gè)漏洞。
    二、如何解決IIS6安全漏洞?
    A 方案 ：打補(bǔ)丁
    本來(lái)安裝補(bǔ)丁是一種比較保險(xiǎn)的方法，可是漏洞已發(fā)現(xiàn)一段時(shí)間了，微軟一直沒(méi)有發(fā)布相關(guān)的補(bǔ)丁。
    B方案：網(wǎng)站程序員解決
    對(duì)于那些允許注冊(cè)帳號(hào)的網(wǎng)站來(lái)說(shuō)，在網(wǎng)站程序編寫(xiě)的時(shí)候，程序員通常為了管理方便，便以注冊(cè)的用戶名為名稱來(lái)建立一個(gè)文件夾，用以保存該用戶的數(shù)據(jù)。例如一些圖片、文字等等信息。黑客們就是利用了這一特點(diǎn)，特意通過(guò)網(wǎng)站注冊(cè)一個(gè)以.或者.cer的后續(xù)名作注冊(cè)名，然后通過(guò)如把含有木馬的ASP文件的.asp后綴改成.jpg等方法，把文件上傳到服務(wù)器，由于IIS6漏洞，jpg文件可以通過(guò)IIS6來(lái)運(yùn)行，木馬也隨著運(yùn)行，達(dá)到了攻擊網(wǎng)站的目的，這種情況，可以由程序員對(duì)注冊(cè)用戶名稱進(jìn)行限制，排除一些帶有*.asp *.asa等字符為名的注冊(cè)名。加強(qiáng)網(wǎng)站自身的安全和防范措施。另外，要阻止用戶對(duì)文件夾進(jìn)行重命名操作。
    這種方法在一定程度上可以防范一些攻擊行為，但是這種方法實(shí)現(xiàn)起來(lái)非常麻煩，網(wǎng)站的開(kāi)發(fā)人員在程序安全性方面必須掌握相當(dāng)好的技術(shù)，并且必須要對(duì)整個(gè)網(wǎng)站涉及文件管理方面的程序進(jìn)行檢查，一個(gè)網(wǎng)站少則幾十，多則上千個(gè)文件，要查完相當(dāng)費(fèi)時(shí)，并且難免會(huì)漏掉其中一兩個(gè)。
    另外，目前有很多現(xiàn)成的網(wǎng)站系統(tǒng)只要下載后上傳到空間就可以用，開(kāi)發(fā)這些現(xiàn)有網(wǎng)站系統(tǒng)的程序員技術(shù)水平參差不齊，難免其中一些系統(tǒng)會(huì)存在這種漏洞，還有相當(dāng)一部分系統(tǒng)的源碼是加密過(guò)的，很多站長(zhǎng)想改也改不動(dòng)，面對(duì)漏洞無(wú)乎無(wú)能為力。
    C方案：服務(wù)器配置解決
    網(wǎng)站管理員可以通過(guò)修改服務(wù)器的配置來(lái)實(shí)現(xiàn)對(duì)這個(gè)漏洞的預(yù)防。如何對(duì)服務(wù)器進(jìn)行配置呢？很多網(wǎng)站都允許用戶上傳一定數(shù)量的圖片、Flash等，很多時(shí)候網(wǎng)站開(kāi)發(fā)人員為了日后管理方便，對(duì)上傳的文件都統(tǒng)一放到指定的一個(gè)文件夾里面，管理員只要對(duì)該文件夾的執(zhí)行權(quán)限設(shè)置成“無(wú)”，這樣一定程度可以對(duì)漏洞進(jìn)行預(yù)防。
    D方案： 服務(wù)商解決 服務(wù)器商對(duì)服務(wù)器進(jìn)行統(tǒng)一的整體性過(guò)濾，通過(guò)編寫(xiě)組件來(lái)限制這種行為。但是能做到這種技術(shù)服務(wù)的主機(jī)供應(yīng)服務(wù)商不多。
    面的最新的“熊貓燒香”病毒解決方案？
    執(zhí)行了exe、.com、.pif、.src、.html、.asp文件后，自動(dòng)添加病毒網(wǎng)址，導(dǎo)致用戶一打開(kāi)這些網(wǎng)頁(yè)文件，IE就會(huì)自動(dòng)連接到指定的病毒網(wǎng)址中下載病毒。在硬盤(pán)各個(gè)分區(qū)下生成文件autorun.inf和setup.exe，可以通過(guò)U盤(pán)和移動(dòng)硬盤(pán)等方式進(jìn)行傳播，并且利用Windows系統(tǒng)的自動(dòng)播放功能來(lái)運(yùn)行，搜索硬盤(pán)中的.exe可執(zhí)行文件并感染，感染后的文件圖標(biāo)變成“熊貓燒香”圖案。“熊貓燒香”還可以通過(guò)共享文件夾、系統(tǒng)弱口令等多種方式進(jìn)行傳播。
    近期，“熊貓燒香”病毒無(wú)疑成了互聯(lián)網(wǎng)最熱門(mén)的關(guān)鍵字了，網(wǎng)上也能找到很多個(gè)有關(guān)熊貓燒香病毒的解決辦法。這些方法都顯得不盡完美，再加上熊貓的變種很多，有效性就更加大打折扣了。為此，記者通過(guò)對(duì)國(guó)內(nèi)幾家殺毒軟件公司的采訪，整理出了一套相對(duì)完整的解決方案供大家參考。對(duì)于已經(jīng)感染“熊貓燒香”病毒的用戶，可以采用以下幾種方式對(duì)該病毒進(jìn)行查殺。
    ★金山
    金山毒霸2007對(duì)“熊貓燒香”已經(jīng)具備免疫能力，金山毒霸反病毒專家建議及時(shí)安裝正版金山毒霸并升級(jí)到最新版本進(jìn)行查殺。在服務(wù)期內(nèi)的毒霸用戶，將會(huì)通過(guò)金山毒霸的主動(dòng)實(shí)時(shí)升級(jí)功能，自動(dòng)升級(jí)到最新版本，實(shí)現(xiàn)對(duì)“熊貓燒香”的免疫。對(duì)于沒(méi)有安裝殺毒軟件的電腦用戶，可以登錄到tool.duba.net/zhuansha/253.shtml免費(fèi)下載金山的“熊貓燒香”專殺工具。
    ★瑞星
    安裝殺毒軟件和瑞星卡卡3.1的用戶，可將軟件升級(jí)，并在上網(wǎng)時(shí)打開(kāi)網(wǎng)頁(yè)實(shí)時(shí)監(jiān)控。同時(shí)，瑞星已經(jīng)發(fā)布針對(duì)該病毒的專殺工具，并對(duì)該工具不斷升級(jí)。因此，沒(méi)有安裝殺毒軟件的用戶，還可以登錄it.rising.com.cn/Channels/Service/index.shtml免費(fèi)下載使用“熊貓燒香”專殺工具。
    ★江民
    江民建議已安裝江民殺毒軟件的用戶將殺毒軟件升級(jí)到最新病毒庫(kù)，并對(duì)電腦進(jìn)行全盤(pán)查殺。未安裝殺毒軟件的用戶，也可登錄到www.jiangmin.com/download/zhuansha04.htm下載安裝江民“熊貓燒香”專殺工具，可以有效清除病毒和修復(fù)被感染文件。