四、数据库的恶梦，C/S型asp木马

　　所谓的C/S型asp木马，就是客户端和服务端分开的asp木马。这种asp木马运作方式是：先将服务端代码插入到网站的数据库中，然后通过客户端程序进行连接，连接上后就可以像普通asp木马那样进行操作。不过C/S木马的运行条件是目标数据库的后缀名必须已改为asp或asa，对于后缀名为mdb的数据库则不起任何作用。下面我们通过C/S木马来获取一个webshell。
 
　　首先需要得到目标网站的数据库路径，并且确认数据库的后缀名为asp或asa。然后来到网站任何可以将数据写入数据库的地方，将我们的asp木马服务端“”（其中cmd是连接密码，可以修改为自己的密码）提交到网站上，这样数据库中就有了我们的木马服务端。然后我们运行目前较为成熟的C/S木马“lanker微型asp后门”，在“木马地址”中写入网站数据库的路径，然后在“基本功能列表”中选择“环境变量”，点“提交”就可以成功连接到服务端了。连接后可以在“基本功能列表中”选择相应的功能进行操作，和一般的webshell无异。

　　五、打造数据库的“铜墙铁壁”

　　数据库的防下载其实并不难，如果自己对网站所在的服务器有管理权，那么防下载只需在网站程序上做一下简单的设置。如果网站是建立在虚拟主机上的，也只需编写一个数据库防下载的asp文件即可解决问题。
 
　　1.更改数据库路径
 
　　如果自己对网站所在的服务器有管理权，那么我们可以将网站程序和数据库放在不同的目录中，例如将网站程序放在c:web文件夹中，将数据库放在d:data文件夹中，然后在网站程序中将数据库的指向改为“d:data数据库文件”即可。因为数据库不在网站目录下，因此不存在被下载的问题。
 
　　2.编写防下载asp文件
 
　　如果网站是建立在虚拟主机上的，可以在数据库中添加防下载表。首先将网站数据库改为asp后缀，然后用记事本打开“数据库防下载.asp”（本文相关软件包中有提供），将第二行中的数据库地址改为自己网站的数据库地址，然后将这个asp文件上传到网站上，用浏览器执行一次即可。文件执行完毕后会在数据库中添加防下载表，这样当输入数据库地址时会出现“无法显示该页”的错误信息。
 
　　3.入侵后的补救措施
 
　　黑客利用下载数据库入侵后，通常会留下一些asp木马，作为后门控制网站。因此如果发现网站被入侵，检测asp木马是否存在也是一件十分重要的事。对于asp木马的检测，可以使用“思易asp木马追捕”，它可以像杀毒软件一样通过特征码来查找存在于网站中的asp木马。因此有“越轨操作”的asp文件都会被其列入黑名单。同时对于每个asp文件所拥有的权限都将以列表的形式显示，具有危险性的asp文件一目了然。

上一页  [1] [2] [3]