对网页木马后门的防范和检测

黑客在通过脚本技术入侵服务器后，往往会在网站上放置一些网页木马后门，因此要保证网站的安全，严防各种木马后门，进行检测与防范是一个很重要的方面。

一，删除各种脚本对象以禁止 ASP 木马运行

常见的海洋顶端木马、冰狐浪子、ASP 站长管理助手等，在使用时要实现一些功能一般要调用到 FSO 对象、ADODB.STREAM等，如果在服务器上删除了这些对象，也能从一方面起到防范攻击者进一步渗透入侵的目的。

(1) 禁用 FSO 对象

FSO 对象即 File System Object(文件系统对象)，一般的网络脚本病毒的复制、传播等都离不开，在防范 SQL 注入攻击时，我们也可以禁用 FSO 对象。操作方法很简单：

单击【开始】-》【运行】命令，输入命令“CMD”，回车后打开命令提示符窗口。在命令提示符窗口中，输入如下命令：

regsvr32 /u scrrun.dll

命令执行后，即可禁用 FSO 对象；如果需要恢复 FSO 对象时，可使用如下命令：

regsvr32 scrrun.dll

命令执行后，即可恢复 FSO 功能。

(2) 禁止 ADODB.STREAM 对象

另外，有很多网页木马是利用“ADODB.STREAM”这个对象来列举出服务器文件目录的，也有的 ASP 木马是用 CLASSID 来创建脚本对象的，因此可以禁这个脚本对象，这样就可以从一定程度上阻止 ASP 木马了。

首先在“开始”–》“运行”中输入“regedit”，打开注册表编辑器。然后展开注册表项目“HKEY_CLASSES_ROOT\ADODB.Stream\CLSID”，在右边的窗口中可以看到“ADODB.Stream”的 CLASSID，是一串十六进制的数值，如“{00000566-0000-0010-8000-00AA006D2EA4}”。

记下这个值，再找到注册表项目“HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32”，在其中找到这个 ActiveX 对应的 dll 文件路径，这里是“c:\program files\common files\system\ado\msado15.dll”。

然后再次使用 Regsvr32 卸载掉这个文件，在“开始”–》“运行”窗口中输入命令：
regsvr32 /u “c:\program files\common files\system\ado\msado15.dll”
执行后即可将 ADODB.STREAM 卸载掉了。需要时可以再次使用 regsvr32 将其恢复。当然也可以直接将“msado15.dll”文件改名，或者删除掉注册表中的“HKEY+CLASSES_ROOT\ADODB.Stream\CLSID”项目。

此外，国内著名的杀毒软件公司瑞星还提供了一个专门用来删除 ADODB.STREAM 对象的工具。

运行该软件后，单击界面中的【隔离 Stream 对象】按钮后，软件就会自动完成 ADODB.STREAM 对象的禁用工作；如果重新需要使用该对象时，就可以单击【恢复 Steamd 对象】按钮将其恢复。

二，网页木马后门查找工具

如果网站中存在没有发现的脚本攻击入侵漏洞，那么有可能被入侵者攻击并上传了网页木马后门在自己的网站中。如何从中揪出攻击者隐藏的 ASP 木马后门呢？

防范入侵者植入网页木马，可以使用一个叫做“思易 ASP 木马追捕 v2.0”的程序。该工具是一个 ASP 网页文件，将其上传到网站空间中后打开该网页。

在网页中有两个输入框，在“检查的文件类型”中可以选择要检测的网页文件，默认是检查所有类型；在“增加搜索自定义关键字”中可以输入要搜索的关键词，比如“execute request,execute session,eval”单击确定按钮后，即可对当前网站目录下的指定类型的文件进行检测，列出存在检测代码的网页。?