高度警惕：假買廣告真掛馬切莫貪圖小利-魔扣目錄

中國站長站（chinaz.com）訊：近日，有一些不法份子利用少數(shù)站長貪小便宜的心里，在站長網(wǎng)站空間上種植“一句話木馬”，從而獲取服務(wù)器權(quán)限實現(xiàn)大面積掛馬或釋放病毒，危害網(wǎng)站用戶，從中牟取暴利。

最近有不少站長在Chinaz論壇發(fā)貼和致電中國站長站反映和咨詢，有人聯(lián)系要在他們的網(wǎng)站上投放廣告，卻要求把廣告頁面，一個ASP文件放到他自己網(wǎng)站的目錄中，但從表面也看不出來有異常，源文件如下：

<div align="center">
   <p><BR>
     請您選擇最快的站點<BR>
     <br>

     <INPUT TYPE = BUTTON Value = "北方網(wǎng)通" onClick = "window.location='http://www.17zao.com'">
     <INPUT TYPE = BUTTON Value = "南方電信" onClick = "window.location='http://www.17zao.com'">
     <br>
     <br>
     <a target="_blank" class="STYLE1">粵ICP備05121955號</a><br>
     <br>
        </p>
   </div>
<br></td>
<td width="1" bgcolor="#5A7D9C"></td>
          </tr>
</table>
<table width="450" height="1" border="0" align="center" cellspacing="0">
          <tr>
                    <td bgcolor="#5A7D9C"></td>
          </tr>
</table>

然而問題就是在上段代碼中被標(biāo)紅的地方，國內(nèi)著名的服務(wù)器安全專家，前SWsoft（中國）高級工程師楊恒飛（coldstar）告訴我們：ASP腳本中eval 函數(shù)允許動態(tài)執(zhí)行VBScript源代碼，也就是可以執(zhí)行任何代碼段，只是可能返回結(jié)果不同而已。因為它會對里面的表達式進行求值，也就是會執(zhí)行里面的表達式，如果里面的表達式是一個刻意構(gòu)造的代碼的話，就會危害到服務(wù)器的安全。如果服務(wù)器安全設(shè)置不嚴謹?shù)脑挘梢岳眠@個寫入一個完整的ASP木馬，操作文件什么的都可以做了。

另外動網(wǎng)論壇開發(fā)工程師焦崧源（雨·漫步）講到：基于C/S模式的“一句話木馬”使人想起了幾年前在安全界流行的“Execute Request("#")”，這種后門的好處就是體積小，隱蔽性高，殺毒軟件一般查殺不出來，而且還可以使用POST方式，IIS日志不會記錄。

因此提醒廣大站長：切莫貪圖小利而上當(dāng)受騙，根據(jù)目前反饋的站長信息，這些不份分子一般通過新申請的QQ號與不懂技術(shù)的站長，尤其是運營下載網(wǎng)站的，以包月廣告形式要求把該頁面放置自己的網(wǎng)站空間。另外也警惕一下，更不要接受通過遠程調(diào)用的方式在自己網(wǎng)站放置對方廣告，以免對方隨時更換代碼進行掛馬操作。

小知識：Eval 函數(shù)

計算一個表達式的值并返回結(jié)果。

[result = ]Eval(expression)

參數(shù)

result

可選項。是一個變量，用于接受返回的結(jié)果。如果未指定結(jié)果，應(yīng)考慮使用 Execute 語句代替。

expression

必選項。可以是包含任何有效 VBScript 表達式的字符串。

說明：在 VBScript 中，x = y 可以有兩種解釋。第一種方式是賦值語句，將 y 的值賦予 x。第二種解釋是測試 x 和 y 是否相等。如果相等，result 為 True；否則 result 為 False。Eval 方法總是采用第二種解釋，而 Execute 語句總是采用第一種。