IIS6目录检查安全漏洞的解决

一 、 Windows 2003 Enterprise Edition IIS6 目录检查漏洞的描述

　　1、Windows 2003 Enterprise Edition是微软目前主流的服务器操作系统。 Windows 2003 IIS6 存在着文件解析路径的漏洞，当文件夹名为类似hack.ASP的时候（即文件夹名看起来像一个ASP文件的文件名），此时此文件夹下的任何类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为.jpg或.gif之类的看起来像是图片文件的木马文件，通过访问这个文件即可运行木马。
　　2、 扩展名为.jpg/.gif的木马检查方法：
　　在资源管理器中使用详细资料方式，按类别查看。点“查看”菜单－－“选择详细信息”－－勾选上“尺寸”，确定。此时，正常的图片文件会显示出图片的尺寸大小，如果没有显示，则99%可以肯定是木马文件。用记事本程序打开即可100%确定.
　　3、 漏洞影响的范围：
　　安装了IIS6的服务器(windows2003)，漏洞特征网站的管理权限被盗、导致网站被黑。因为微软尚未发布这个漏洞的补丁，所以几乎所有网站都会存在这个漏洞。

　　二、如何解决IIS6安全漏洞?

　　A 方案 ：打补丁
　　本来安装补丁是一种比较保险的方法，可是漏洞已发现一段时间了，微软一直没有发布相关的补丁。
　　B方案：网站程序员解决
　　对于那些允许注册帐号的网站来说，在网站程序编写的时候，程序员通常为了管理方便，便以注册的用户名为名称来建立一个文件夹，用以保存该用户的数据。例如一些图片、文字等等信息。黑客们就是利用了这一特点，特意通过网站注册一个以.或者.cer的后续名作注册名，然后通过如把含有木马的ASP文件的.asp后缀改成.jpg等方法，把文件上传到服务器，由于IIS6漏洞，jpg文件可以通过IIS6来运行，木马也随着运行，达到了攻击网站的目的，这种情况，可以由程序员对注册用户名称进行限制，排除一些带有*.asp *.asa等字符为名的注册名。加强网站自身的安全和防范措施。另外，要阻止用户对文件夹进行重命名操作。
　　这种方法在一定程度上可以防范一些攻击行为，但是这种方法实现起来非常麻烦，网站的开发人员在程序安全性方面必须掌握相当好的技术，并且必须要对整个网站涉及文件管理方面的程序进行检查，一个网站少则几十，多则上千个文件，要查完相当费时，并且难免会漏掉其中一两个。
　　
　　另外，目前有很多现成的网站系统只要下载后上传到空间就可以用，开发这些现有网站系统的程序员技术水平参差不齐，难免其中一些系统会存在这种漏洞，还有相当一部分系统的源码是加密过的，很多站长想改也改不动，面对漏洞无乎无能为力。
　　C方案：服务器配置解决
　　网站管理员可以通过修改服务器的配置来实现对这个漏洞的预防。如何对服务器进行配置呢？很多网站都允许用户上传一定数量的图片、Flash等，很多时候网站开发人员为了日后管理方便，对上传的文件都统一放到指定的一个文件夹里面，管理员只要对该文件夹的执行权限设置成“无”，这样一定程度可以对漏洞进行预防。
　　D方案： 服务商解决 服务器商对服务器进行统一的整体性过滤，通过编写组件来限制这种行为。但是能做到这种技术服务的主机供应服务商不多。

　　面的最新的“熊猫烧香”病毒解决方案？

　　执行了exe、.com、.pif、.src、.html、.asp文件后，自动添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。

　　近期，“熊猫烧香”病毒无疑成了互联网最热门的关键字了，网上也能找到很多个有关熊猫烧香病毒的解决办法。这些方法都显得不尽完美，再加上熊猫的变种很多，有效性就更加大打折扣了。为此，记者通过对国内几家杀毒软件公司的采访，整理出了一套相对完整的解决方案供大家参考。对于已经感染“熊猫烧香”病毒的用户，可以采用以下几种方式对该病毒进行查杀。

　　★金山

　　金山毒霸2007对“熊猫烧香”已经具备免疫能力，金山毒霸反病毒专家建议及时安装正版金山毒霸并升级到最新版本进行查杀。在服务期内的毒霸用户，将会通过金山毒霸的主动实时升级功能，自动升级到最新版本，实现对“熊猫烧香”的免疫。对于没有安装杀毒软件的电脑用户，可以登录到tool.duba.net/zhuansha/253.shtml免费下载金山的“熊猫烧香”专杀工具。

　　★瑞星

　　安装杀毒软件和瑞星卡卡3.1的用户，可将软件升级，并在上网时打开网页实时监控。同时，瑞星已经发布针对该病毒的专杀工具，并对该工具不断升级。因此，没有安装杀毒软件的用户，还可以登录it.rising.com.cn/Channels/Service/index.shtml免费下载使用“熊猫烧香”专杀工具。

　　★江民

　　江民建议已安装江民杀毒软件的用户将杀毒软件升级到最新病毒库，并对电脑进行全盘查杀。未安装杀毒软件的用户，也可登录到www.jiangmin.com/download/zhuansha04.htm下载安装江民“熊猫烧香”专杀工具，可以有效清除病毒和修复被感染文件。