Warning: Undefined array key "HTTP_REFERER" in /www/wwwroot/prod/www.enjoyasp.net/wp-content/plugins/google-highlight/google-hilite.php on line 58

1，模拟过程：hacker破解掉网站后台密码后，在文件上传中，上传了一个jpg的木马，网站上面是可以显示图片路径的，然后他在地址栏中执行,由于服务器没有做安全权限，故得到一切…
jpg木马：一个asp或asa木马，将其名称改为 aaa.asp;.jpg 或者aaa.asp;.aaa
这种木马是IIS在执行时有一个解析漏洞引起，称为IIS解析漏洞
IIS解析漏洞
1,网站上传图片的时候，将网页木马文件的名字改成“*.asp;.jpg”，也同样会被 IIS 当作 asp 文件来解析并执行。例如上传一个图片文件，名字叫“vidun.asp;.jpg”的木马文件，该文件可以被当作 asp 文件解析并执行。

2,在网站下建立文件夹的名字为 *.asp、*.asa 的文件夹，其目录内的任何扩展名的文件都被 IIS 当作 asp 文件来解析并执行。例如创建目录 vidun.asp，那么 /vidun.asp/1.jpg 将被当作 asp 文件来执行。

木马查找：ASPX：DirectoryInfo ASP：filesystemobject

预防措施：
一、网站
1，网站后台密码设置复杂，14位以上
2，限制IP登录
3，上传文件的地方，除限制文件类型外，获取上传文件的后缀名,文件名随机生成，这样就去掉了asp.生成的文件为xxx.jpg,而不在是xxx.aspa;.jpg。
同时，在IIS中，右击上传文件夹，执行权限设置为无

4,若网站是aspx的，那么去掉asp的映射。
二、服务器
1，磁盘目录，仅给administrator,system权限,在高级里面，记得将允许父…,将此…都打上√
把windows临时文件夹temp转移到其它盘
1。在D盘建立temp这个文件夹
2。控制面板/系统/高级/环境变量/用户变量/把temp和tmp值编辑到 d:\temp
3。控制面板/系统/高级/环境变量/系统变量/把temp和tmp值编辑到 d:\temp
4。仅给administrator,system权限，及networkservice的读写权限，重启系统后生效
2,网站目录:networkservice,IIS来宾账号给予读取权限，administrator给予所有权限，其它都去掉。
仅上传文件的目录写权限
3,网站源码：封装成dll,混淆，web.config中的数据库链接移出，字符串加密放到注册表中，在封装的dll类中读取此注册表项信息即可，放在注册表中方便修改。

防止执行CMD
卸载wscript.shell对象，在cmd下或直接运行：regsvr32 /u %windir%\system32\WSHom.Ocx
卸载FSO对象,在cmd下或直接运行：regsvr32.exe /u %windir%\system32\scrrun.dll
卸载stream对象,在cmd下或直接运行： regsvr32 /s /u “C:\Program Files\Common Files\System\ado\msado15.dll”