高度警惕：假买广告真挂马切莫贪图小利

2019-03-10 12:01:27来源：中国站长站阅读 ()

中国站长站（chinaz.com）讯：近日，有一些不法份子利用少数站长贪小便宜的心里，在站长网站空间上种植“一句话木马”，从而获取服务器权限实现大面积挂马或释放病毒，危害网站用户，从中牟取暴利。

最近有不少站长在Chinaz论坛发贴和致电中国站长站反映和咨询，有人联系要在他们的网站上投放广告，却要求把广告页面，一个ASP文件放到他自己网站的目录中，但从表面也看不出来有异常，源文件如下：

<div align="center">
   <p><BR>
     请您选择最快的站点<BR>
     <br>

     <INPUT TYPE = BUTTON Value = "北方网通" onClick = "window.location='http://www.17zao.com'">
     <INPUT TYPE = BUTTON Value = "南方电信" onClick = "window.location='http://www.17zao.com'">
     <br>
     <br>
     <a href="http://www.miibeian.gov.cn" target="_blank" class="STYLE1">粤ICP备05121955号</a><br>
     <br>
        </p>
   </div>
<br></td>
<td width="1" bgcolor="#5A7D9C"></td>
          </tr>
</table>
<table width="450" height="1" border="0" align="center" cellspacing="0">
          <tr>
                    <td bgcolor="#5A7D9C"></td>
          </tr>
</table>

然而问题就是在上段代码中被标红的地方，国内著名的服务器安全专家，前SWsoft（中国）高级工程师杨恒飞（coldstar）告诉我们：ASP脚本中eval 函数允许动态执行VBScript源代码，也就是可以执行任何代码段，只是可能返回结果不同而已。因为它会对里面的表达式进行求值，也就是会执行里面的表达式，如果里面的表达式是一个刻意构造的代码的话，就会危害到服务器的安全。如果服务器安全设置不严谨的话，它可以利用这个写入一个完整的ASP木马，操作文件什么的都可以做了。

另外动网论坛开发工程师焦崧源（雨·漫步）讲到：基于C/S模式的“一句话木马”使人想起了几年前在安全界流行的“Execute Request("#")”，这种后门的好处就是体积小，隐蔽性高，杀毒软件一般查杀不出来，而且还可以使用POST方式，IIS日志不会记录。

因此提醒广大站长：切莫贪图小利而上当受骗，根据目前反馈的站长信息，这些不份分子一般通过新申请的QQ号与不懂技术的站长，尤其是运营下载网站的，以包月广告形式要求把该页面放置自己的网站空间。另外也警惕一下，更不要接受通过远程调用的方式在自己网站放置对方广告，以免对方随时更换代码进行挂马操作。

小知识：Eval 函数

计算一个表达式的值并返回结果。

[result = ]Eval(expression)

参数

result

可选项。是一个变量，用于接受返回的结果。如果未指定结果，应考虑使用 Execute 语句代替。

expression

必选项。可以是包含任何有效 VBScript 表达式的字符串。

说明：在 VBScript 中，x = y 可以有两种解释。第一种方式是赋值语句，将 y 的值赋予 x。第二种解释是测试 x 和 y 是否相等。如果相等，result 为 True；否则 result 为 False。Eval 方法总是采用第二种解释，而 Execute 语句总是采用第一种。

标签：