大家都知道ASPCMS已经停更有几年了,但是使用的人还有很多,还有一批忠实的拥簇就喜欢用ASPCMS的程序,并且很多网络公司及网站制作外包团队都在使用aspcms程序来制作网站,任何一个开源程序一旦使用的人比较多的时候就会有一些黑客开始研究这些系统的漏洞。
现在网络上已经有很多黑客公布的一些漏洞攻击教程,以及一些常见的漏洞利用方法,虽然aspcms官方的版本已经更新并且修复了大部分的已知bug,但是一些通用的漏洞还是无法解决的,比如aspcms后台创建模板的时候可以直接创建asp的文件,这样就很容易的被黑客们利用,所以在aspcms的程序中已经限制了模板创建格式,模板只能创建.html、js或者css格式的文件,但是对于服务器iis版本较低的站长朋友们来说,黑客还是可以通过创建.asp;.html这种格式的模板来实现挂马的。
现在来告诉大家一个最简单的而且能够从根本上解决aspcms程序本挂马的问题,而且也可以彻底解决后台漏洞问题,毕竟修复程序对与大部分的站长们来说都是一件比较困难而且繁琐的事情,我们就应该直接从服务器入手,来做好最基础的防护。
原理很简单,因为所有的aspcms后台漏洞的最终挂马方法都是要在服务器里边的asp文件中写入可执行代码,并且通过执行对应的asp文件来实现挂马,所以我们需要做的就是禁止这些不安全的asp文件执行,因为aspcms后台设计的还是比较合理的,在后台或者网站前台能够实现给服务器写入文件的目录并不是很多,准确的来说也就4个文件夹,因此我们只要禁止aspcms程序中4个文件的执行权限就OK了。
需要禁止执行权限的目录是:
/data/ (如果你修改过自己的数据库文件夹名称,这里修改成你修改后的数据库文件夹名称即可)
/templates/(也就是aspcms程序的模板文件夹,如果条件允许的话大家最好是把自己的服务器iis升级到7.0版本以上)
/upload/ (这个一定要禁止,因为后台漏洞很多都是直接向这个文件夹上传可执行文件来实现挂马的)
/config/ (有的站长担心禁止了这个目录以后网站程序无法运行,其实不需要担心的,因为config这个目录不需要执行权限,只要有读取的权限aspcms就能正常运行)
只要禁止了这4个文件夹的执行权限以后,你的程序基本上就不会再被挂马了,起码目前网络上流行的aspcms漏洞还没有超过这4个文件夹的。前三个文件夹相信站长们都在知道原因的,但是最后一个config文件夹估计很多一部分站长都不知道问什么要禁止的,因为在aspcms程序后台修改幻灯片的时候,其实是会在config文件夹写入代码的,如果这时候黑客们通过在幻灯片提交页面做简单的代码修改就可以把一句话木马注入到config/AspCms_Config.asp这文件中,所以我们还是要禁止这个文件夹的执行权限比较安全。
