前段時間單位的服務器上被人上傳了一個.NET木馬，，這次讓我認識到以前沒有見過的上傳木馬的招數，，同時也找出一些對策，，咱落伍論壇很多都有服務器的，，就分享出來給大家吧。

.net木馬目前很強的，，下載地址：http://www.rootkit.net.cn/article.asp?id=132 （你可以上傳到你的服務器上看看對你的系統都能做什么）

此木馬是一個.NET程序制作，如果你的服務器支持.NET那就要注意了，，進入木馬有個功能叫：IIS Spy，點擊以后可以看到所有站點所在的物理路徑。以前有很多人提出過，但一直沒有人給解決的答案。。

防御方法：

“%SystemRoot%/ServicePackFiles/i386/activeds.dll

“%SystemRoot%/system32/activeds.dll

“%SystemRoot%/system32/activeds.tlb

搜索這兩個文件，把USER組和POWERS組去掉，只保留administrators和system權限。。如果還有其它組請全部去掉。。這樣就能防止這種木馬列出所有站點的物理路徑。。。

asp程序最近碰到一個上傳圖片，但如果上傳圖片的文件夾給了IIS可執行腳本的權限，那么他上傳.jpg的圖片也一樣能夠執行ASP木馬。呵呵

解決方法：

一、能上傳的目錄給IIS不允許執行腳本的權限。

二、利用其它帶文件防護功能的軟件防止*.asp;*.jpg寫入文件。

三、所有目錄允許讀取，只要是寫入的文件夾在IIS里請將腳本改為無。如果沒有服務器的朋友，那被傳馬那也沒辦法了，除非你可以協調空間商幫你做這些操作

【編輯推薦】

1. 分辨木馬病毒文件的4個方法
2. 防木馬病毒 快者勝！十款安全軟件掃描功能特評
3. 警惕“快女”、“莫拉克”新聞暗藏木馬病毒