第一次与病毒亲密接触——江民倒下了，瑞星能坚挺

【标题】第一次与病毒亲密接触——江民倒下了，瑞星能坚挺

【内容】
    
    1、序    
   
    前段时间写过一篇有关网页木马的文章，网页木马还未平息，一波又起，最近又感染了
    Hack.SuspiciousAni病毒（瑞星命的名），网站被闹的差点...
    
    2、亲密接触病毒 Hack.SuspiciousAni
     
       先说说 Hack.SuspiciousAni:
       
       什么是Hack.SuspiciousAni？

         它是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件，通过挂马的网页下载恶意代码。该漏洞补丁MS 4月4日已经发布，没有打补丁的朋友快去 http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx 下载安装一下。
      
       病毒侵入过程：

       MS07-017 漏洞存在于系统关键文件user32.dll中。当用户进入带有相关恶意代码的网页时，浏览器将会把这种畸形ANI文件下载到本机临时文件夹中，(我电脑中的是w.js，查找方面： 打开IE->Internet选项->点击常规Internet 临时文件中设置->点击查看文件），并依照网页脚本执行，将其设置为浏览此页面时鼠标的光标图案。
       如果这整个过程完成，则对于没有打上MS07-017补丁的电脑，此漏洞将被触发，黑客将可远程执行任意代码（一般是下载木马）。

      亲密接触:
           
      在Google上搜索关键词时，搜索结果中第一页第三条，就是我网站的，嘿嘿...啊！...惊诧...
      "该网站可能会损害您的计算机。"令我惊慌了，后果很严重。本人是GG 的fans，相信这是真的...
      
      知道我的网站被挂，存在恶意代码，怎么办? 山上有老虎也要上啊！？先武装一下，升级江民杀毒软件，上山... 

      在浏览器中输入网址，页面还没有加载完电脑蓝屏了。重启，仍旧蓝屏。

      这下认识到了问题的严重性，诺顿与XP系统文件冲突事件给我的直觉认为是不是江民病毒库与系统文件冲突？！ 赶快，进入安全模式。先杀毒，消灭了4个病毒。重启，系统正常了。万幸，还是乖一点了，做好系统的安全备份，再次上山...   

      同样，死的很惨。再次，进入安全模式，杀毒，结果没有查到，但重启电脑还是蓝屏，有新的情况...
      打开"系统配置实用程序"（命令行msconfig），勾掉有关江民的启动项和服务。重启，系统正常。要“裸奔”吗?! 不行，还是需要江民的。几经试验，有江民就不行，江民就这样倒下了。
            
      这个世界太肮脏，别说“裸奔”，穿上战甲都不好使！我一向支持民族产业，最后选择了瑞星。
      继续上山...

      瑞星警告有“Hack.SuspiciousAni”病毒，下面是截图：

      
      

   


      
      
      采用什么战术？怎么解决？
      战斗打响：
       
       a、只是浏览我的网站时瑞星警告有毒，GG,Baidu,Sina没有问题。说明，不是我机的问题，IE没有被劫持。
       问题在服务器上。随便说一下，使用火狐浏览器没有问题。
       
       b、火力指向服务器。我发现浏览网站其它页面时，瑞星并没有警告，只是主页有问题。
       
       c、全力突击主页。把网页下载到本地，先查查看是否有网页木马。iframe,JS脚本,CSS样式等等，代码没发现问题。
          下面是前段时间的嵌入的网马URL：
           http://google.171738.org/ani.js   http://bb.code686.com/udminn/index.htm?id=666
           
       d、本地浏览该页面，瑞星也警告了。啊？！发现形势不妙...
              
       e、对主页采用各个歼灭的战术。把主页的代码分成了4部分，头，尾，内容左，内容右。
       
       f、先斩去头，网页仍旧有问题。再斩去尾，网页正常了...
       
       g、追击尾文件。该文件很简单，在代码上没有发现任何问题。是不是，感染病毒...
       
       h、快刀斩乱麻，下载页尾杀毒，病毒被斩获了。很遗憾，一兴奋忘记录病毒特征了。
       
       j、上传页尾文件。网站正常了，瑞星仍坚挺。
      
    3、服务器的安全

       上面的过程中，并没有提到服务器的安全。因为工作分配的原因，这块由网管在做。
      
       各位大哥，在这里请教一下服务器及其它安全方面的问题：
      
        服务器及网站的信息：win2003(已经打上一些补丁)，II6.0，MS SQL 2000，杀毒软件与防火墙，网站使用ASP开发
       
        存在的安全问题：
       
        1、我们发现攻击者可以上传asp文件。已经查过代码，没有漏洞。网管说，攻击者盗用ftp帐号？
          请高手，讨论一下如何避免asp的上传漏洞。
         
        2、发现攻击者在数据库中可以创建表。如何跟踪该问题？这是利用的什么漏洞？
          攻击者通过木马，获得服务器的默认帐号，然后再升级该帐号。如果成功，服务器就没有任何安全可言了，
          这些问题如何克服，请各位大侠赐教？！
         
        3、MS SQL 2000中的一些扩展存储过程存在安全漏洞?
           比如，xp_cmdshell。
           一般可以删除该储过过程： exec sp_dropextendedproc 'xp_cmdshell'
           若使用可以恢复：EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
          
       请大家，讨论一下如何做好服务器的安全？让大家不要在肮脏的互联网上冲浪...
       
       

【关键词】ani 漏洞 ani 漏洞补丁  Hack.SuspiciousAni 病毒 网页木马 如何做服务器的安全