如何防範網站被掛馬 從技術角度分析

&HTTP://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   掛馬就是在網站裡掛木馬，首先是利用漏洞侵入網站後臺，然後上傳木馬，就行了。 詳細去駭客網站看！ 所謂的掛馬，就是通過掃描網站是否有注入點；然後通過注入點，獲取系統管理員的帳號和密碼；然後通過掃描，獲得網站後臺登陸頁面位址；然後登陸網站後臺，通過資料庫 備份/恢復 或者上傳漏洞獲得一個webshell ；利用獲得的webshell修改網站頁面的內容，向頁面中加入惡意轉向代碼；當你訪問被加入惡意程式碼的頁面時，你就會自動的訪問被轉向的位址。

最近常有朋友說自己的網站被掛馬了，煞是苦惱，網站流量遭受損失不算，掛馬還會給網站的使用者以致命的打擊，使其對你的網站徹底失去興趣。 站長做站不容易，難道一個辛辛做出來的網站，就這樣完結了嗎?面對掛馬的挑戰，我們如何來應付?

ASP開發的簡易性使得越來越多的網站幕後程式都使用這個指令碼語言。 但是， 由於ASP本身存在一定安全性漏洞，稍不小心就會給駭客提供可乘之機。 目前，大多數網站上的ASP程式都有這樣那樣的安全性漏洞，但如果編寫程式的時候注意一點的話，還是可以避免的。

一，免費程式被留有後門

這種方式是那些所謂免費提供程式下載的馬客慣用的手段。 他可以在一個很不起眼的目錄或檔裡留下一小段後門，或則乾脆放一個ASP木馬進去。 所以不要輕易使用來路不明的程式，下載程式儘量去正規的大網站。 如果非要使用，請仔細檢查每個目錄，每個檔的代碼，確保萬無一失。 前臺儘量不要留可執行程式，能生成HTM的，全生成。 後臺一定要目錄改名，這點是很重要的這個在下面會提到。

二，後臺密碼被破解

有些使用者在偵錯工具的時候把使用者名和密碼設置得很簡單，有的甚至直接用預設的，那樣是極其危險的，別人可以通過簡單的猜測或簡單的破解，輕易拿到許可權，後果可想而知。 涉及使用者名與口令的程式應封裝在伺服器端，儘量不要在ASP檔裡出現。 目前比較安全的方法是，後臺通過伺服器端SESSION驗證，密碼通過MD5嚴格加密。

三，驗證被繞過

如今的ASP程式清一色是在頁面頭部加一個判斷語句，但這還不夠，有可能被馬客繞過驗證直接進入。 解決方法是在需要經過驗證的ASP頁面，可跟蹤上一個頁面的檔案名，只有從上一頁面轉進來的會話才能讀取這個頁面。 當然，如果你後臺目錄改名的話，這種入侵的可能性就小很多。

四，SQL注入

ASP程式必須對某些特殊字元進行過濾，比如'，程式必須判斷用戶端提交的資料是否符合程式要求，SQL注入漏洞可謂是「千里之堤，潰於蟻穴」。 現在網上SQL通用防注入程式很多，下載一個慢慢研究把吧

五，資料庫被下載

在用Access做後臺資料庫時，如果有人通過各種方法知道或者猜到了伺服器的Access資料庫的路徑和資料庫名稱，那麼他也能夠下載這個Access資料庫檔案，這是非常危險的。 解決方法，把資料庫命名成ASP尾碼，連接資料庫的時候也不要直接把資料庫名寫在程式中。

還有其他一些原因，比如是主機商自己搞的鬼，ARP攻擊等等，當然，這些不是本文所討論的話題了。