2005年3月30日星期三

一次街头偶遇的杂感

  这篇杂感本来是我去年逛街偶遇而发的一篇评论,我没有想到的是最近一段时间反响非常大,几乎每天都有新的评论增加,可能是因为国际国内的热点问题才引得我的杂感如此受关注,时间虽然已经过去了很长时间,但形势的发展也和我的预测颇为一致。以下为全文:

  今天,2004年9月18日,是星期六,我本是去华强北逛街,不料正好碰上了一些有组织的人(后来证实是某反日论坛的网民)在华强北闹市区进行抗日游行。他们大约有200人左右,身着统一的T 恤,从华强北的步行街进行抗日游行示威。

  华强北的步行街是深圳最大的商业区之一,因此有不少日本商家,如“味千拉面”,SONY专卖店,松下店等,游行群众每到这些日本商家门口,就会停下来,高呼反日口号,如“抵制日货,从我做起”等等(这句口号令我一下联想到先前很有名的另外一个口号“垃圾分类,从我做起”),并不时高唱国歌,游行队伍旁有很多神情严肃的警察手拿对讲机在说些什么。

  这次游行是有组织的,但组织者显然不愿意将示威活动激化,比如在SONY店前就阻止群众喊“打到SONY”的口号,显然是有所顾虑的。

  游行过程中组织者大量散发传单,其内容概括如下:

  1、列举抗日战争时期日本军队的罪行和战后参拜,修改教科书,霸占钓鱼岛,冲撞领事馆等。

  2、号召人们抵制日货,并列举出6大类日货的清单。

  游行队伍所到之处,人们的反映还是很热烈的,很多人加入了游行的队伍,另一些人则一同高喊抗日口号。但是大多数人还是在围观,并报之一笑的态度,有些人还在起哄。警察和保安人员则显得相当紧张,他们显然担心局势失控。

  但这次有组织的游行局势还是没有失控,游行过程中并没有喊特别过激的口号,甚至没有喊针对某日本商家的口号。

  对于那些凑热闹起哄的人,显然其目的并非全是抗日,而是为了过瘾而已,去体味一把失去了许久的游行示威权利的快感。而那些口喊抗日的人,其目的可能也不一定就是抗日,而是发泄和捣乱,趁机浑水摸鱼。目前的经济形式并不是很好,有民谣为证:“上联:物价涨,学费涨,房价也涨,只有股票不涨!下联:工资跌,文凭跌,消费也跌,只有腐败不跌!横批:太平盛世”,人人心中都有一股怨气,抗日则是当前最没有风险的发泄活动,日本则是最佳的发泄对象,因此正好可以借9- 18为名组织发动抗日游行示威来发泄心中的不满。

  然而,值得令人思考的是:政府真的愿意人民“有组织的”进行对日本的抗议示威活动吗?俗话说“攘外必先安内”,以前政府鼓动反日情绪大多是为了对日本政府进行经贸或政治谈判中多一些讨价还价的筹码,但如果反日活动过激的话,这种“筹码”便不再是“筹码”,而是一种危险的炸弹,民族主义是把双刃剑,搞的不好反而会伤了自己。如果完全和日本搞崩导致其撤回全部投资和商品,那对中国政府来说是一场灾难。是绝对不允许发生的。所以也就不难理解前一阵亚洲杯决赛时的事件后,中国政府匆匆向日本道歉并追究闹事者责任的原因了。

  所以可以想象,政府对人民自发的“有组织的”进行反日活动是很头疼的,对活动的组织者一定会施加非常大的压力要求抗议活动不许“失控”,并且会暗中使用各种可能的方法来阻碍或打击反日活动。

  因此,我认为组织这次活动的人要对自身有一个清晰而正确的定位,自己在这个社会中是处于什么位置,扮演什么角色。如果把自己定位在一个不正确的定位上,张口爱国闭口雪耻,那最终会为这种不正确的定位付出代价的。但是如果换一个角度思考问题,把自己定位为一个“被统治者”,那么问题不就简单多了,统治者需要的是加强执政和领导能力,被统治者就应该服从统治者的这种要求,而不是变成“麻烦制造者”。

  爱国的方式有很多种,虽然主观意愿上是爱国的行动却往往在实际现实中却达到相反的效果,如果我们连自身的问题都没有解决好,空谈什么爱国又有什么用?如果我们有精力的话为什么不去做一些更实际的事情,确确实实先解决我们周边的一些问题。现在社会上的问题难道还不多吗?就如同物价,学费,房价,药价,腐败等等。普通大众都在为了生活而奔波,却因为不公平的社会制度而受尽了欺压和盘剥,如果真正爱国的话,就应该做一些实际的事情,深入人民大众中去,了解人民的想法,帮助人民解决他们所面临的种种不公正的待遇,那才能够得到人民发自内心的拥护和支持。

  对于那些“抗日愤怒青年”所热衷的“抵制日货”其实是一种不切实际的口号,先不说中国大多数民众背负着教育、医疗、住房这三座大山,根本没有多余的钱来消费“日货”(一般日货的价格都比国货要高的多)。真正有小部分消费能力的人真的就愿意放弃质量和服务都相对较好的日货吗?国产的很多伪劣商品充斥着市场而没有人管,甚至连婴儿奶粉,食品,药材这样的商品上都敢于做假,这样国内的商家又是什么样的道德水平呢?又有多少人能放心大胆地去购买所谓的“国货”呢?

  即使我们都不去购买日货,难道受伤害的就只是日本企业吗?全世界就中国一个地方有市场可以赚钱吗?就目前中日依存度来说,还是中国更需要日本多一些。中国有大量的人依靠日本企业而生存,而日本有大量商品(如优质的钢材)中国自己根本就没有办法制造,那么我们去空谈什么抵制又有什么用?

  中国和日本这两个亚洲大国自古以来就是一对冤家对头,但我相信日本的崛起有很多东西是值得中国人特别是现代的中国人好好思考一下的。

  根据中国自己的说法,中华民族之所以落后,是因为日本的欺负。但一个民族让人反复欺负长达一个世纪,这民族自身总有点不对劲吧?

  日本在历史上,不论是科学技术还是文化,都远远落后于中国几十年到上百年。在鸦片战争以前中国闭关锁国,日本也一样闭关自守,和欧洲的新兴文明没有任何来往。1840年英国军舰武力敲开了中国关闭的大门,1853年美国军舰也开到了日本港口,武力迫使日本对外开放。当时日本的遭遇与中国完全一样,也被迫与西方列强签订了许多不平等条约,也是被侵略压迫的国家和民族。

  在被动挨打的情况下,中国和日本都开始了奋起自强的近代化运动。中国和日本近代化运动的起跑线是一样的,其目的也一样是为了富国强兵。1870年日本开始近代化运动时,日本不仅落后于西方,比中国也落后几十年。可是现在日本已成为最领先发达的国家之一,而中国仍在落后的发展中国家圈子里徘徊。100多年来,日本从落后于中国几十年的无名小国,一跃成为领先于中国几十年的先进国家。

  从客观原因来看,中国有太多的理由超过日本。中国地大物博资源丰富,而日本的自然资源却极其贫乏;中国的人口虽多,但人口密度却小于日本(中国的人口密度为每平方公里130人而日本为每平方公里330人);1840年以来西方国家对中国的投资也远大于对日本的投资。中国赶不上日本显然是中国人本身的原因所至。

  为什么日本就有本事在二十多年内从灰烬中再度崛起,我们却至今在泥泞中苦苦挣扎呢?再说中国人民不是早在五十年前就站起来了吗?为什么“帝国主义夹著尾巴逃跑了”后这么多年,我们还是没能耐建设自己的国家,又要苦苦哀求日本人回来,再对我们进行经济侵略呢?

  所以,我们如果还有一点羞耻心,趁早还是停止把中国过去现在的一切苦难都赖在日本人的头上,用百年前的仇恨去煽动仇外心理,籍以掩盖眼前的内政问题的无耻作法。

  “知耻近乎勇”。唯有勇者能知耻,惟有强者敢于承认自己的短处,尊重并学习敌人的长处。受了欺负后不知自省自励自强,只知躲在自己人圈子中痛骂对方,是典型的懦夫满足复仇欲、发泄嫉恨心的精神手淫。日本人两次从逆境中崛起,与中国人的屡试屡败形成了强烈对比。当年美国人的大炮轰垮了日本的“锁国令”,日本人不是象中国人那样死撑“天朝上国”的臭面子,把头埋在沙堆里,而是发动了明治维新,“脱亚入欧”,迅速按西方的先进模式重建了自己的国家,成功废除了美国强加于他们的包括“治外法权”在内的不平等条约,先后打败中国与俄国,一跃而为一流强国。二次世界大战后日本被彻底炸为废墟,国土被占领,财团被解散。日本人没有简单地仇恨向他们扔下原子弹并占领其国家的头号敌人,而是虚心学习对方,按对方的模式改革自己的政治经济制度,与对方结盟并从中为自己捞取最大好处,二十年后又卷土重来成了世界第二。

  真正的忧国忧民、以国脉民命为念的爱国者,应该有胆量,有气魄“以日为师”,虚心学习这个民族过人的长处。至少,我们应当把那份耻辱当做勾践用来激励自己的苦胆,老老实实、认认真真地清理一下埋在民族肌体中的肿瘤细胞,特别是促使我们周期性癫痫发作的虚骄轻狂、动辙仇外的劣根性。当然,这要比哗众取宠、媚俗邀赏的精神手淫来得艰难。

  民族感情引起的民族仇恨是非常复杂的事情,我们应该非常慎重地处理民族感情问题。这并不是说我们要忘记过去的历史,但要注意不使民族仇恨升级。

  中华民族要真正地实现腾飞,必须首先拥有一个健康的民族心态。中华民族只是世界民族大家庭中平等的一员,既不是先天的优秀民族也不是先天的劣等民族。己所不欲勿施于人,作为一个自信的民族应该充分理解其他民族的爱国情绪,尊重其他民族的民族感情,积极地化解与各民族间存在的矛盾和争议。应该正视国内改革带来的社会分化和阶级对立,而不是用激化民族矛盾的手法以掩盖国内存在的尖锐矛盾。

  在与日本关系这个问题上,应该时刻保持理智和克制,中国和日本这两个大国搞仇视和对抗,不会给中国带来什么利益,也不会给日本带来什么利益,得益的只会是美国、俄国等国。对于美国来说,对付中国和日本的最好办法莫过于挑起两国间的仇恨,让这两个亚洲大国永远撕杀在一起,美国就永远不会担心中国或日本会对美国构成什么威胁。抗战期间中日两国打了8年仗,最大的得益者是谁?

  中国是一个地缘大国,而不是类似日本的地缘小国,我们不需要象日本那样对其前途和命运担忧的非理性的紧张心态,我们需要的是理性的平和的心态。在这方面,我国古代的爱国主义、国家主义和天下主义的情怀是最优秀的。目前中国政府所大力倡导“对日关系新思维”正是因为这个原因。

2005年3月20日星期日

2005,中国BLOGGER的寒冬来临

  这个冬天有多冷 ....

  2005,中国BLOGGER的寒冬终于来临了 ....

  不许看,不许说,无数人尝到了“闭嘴”的滋味 ....

  原载:Zola's BLOG 闲言·碎语 (www.zuola.com)

  2005,中国BLOGGER的寒冬终于来临了。新年乍到,zola对新年有很多的期望,期望在新的一年里继续自由的讨论,期望在新年里继续在网上与天南地北的BLOGGER神交;可是,一纸《非经营性互联网信息服务备案管理办法》击碎了我的期望和梦想。在这个信息产业部的部务会议中审议通过的管理办法开始试图用非法的行政手段来影响我们继续自由的写网志。在这个《办法》中规定,所有非经营性的网站包括个人网站和私人搭建的BLOG和BBS都必须备案登记,并且不得有“非法内容”。显然,诸多的BLOGGER为了不影响BSP的生存而跳出来自已建立私人的BLOG和个人网站,继续表达思想,讨论政治,讨论追求民主和自由。而现在,政府又继续追杀过来,加强对“非经营性的互联网信息服务”的监督管理,企图禁止人们交流思想,讨论政治,禁止我们对我们的政府进行舆论监督。由于这个《办法》只是一个行政办法,不是一部法律,我不懂法律,不能评价此《办法》的合法性和合理性,我期望法学专家贺卫方和沈明能站出来对此《办法》进行评价,我想知道这种公文是否符合法理,也希望keso这位中国头号BLOGGER能用他的影响力号召全世界BLOGGER联合起来,抵制这狗娘养的"恶法"!我们工人有力量!我们草民有力量!!如果不联合起来反对,我们的主机托管商和宽带接入商将迫于行政压力而拒绝为我们这些BLOGGER草民提供服务,我们将失去2004年所取回的言论的领地!我们要团结,我们要共识,我们要反抗,我们不向信息产业部交纳保护费和人头税!我们不要他们强行提供的“便民、优质、高效的服务”!

  Blogger同学们,转发吧,转发吧!不在沉默中灭亡就在沉默中暴发!也许你自信你的个人网站不会存放“非法内容”,也许你自信交得起一年一度的年审费用,也许你自信可以把网站转移到国外,但你能保证你的网站不被非法入侵而栽赃吗?你能预知“关键词过滤制度”中不断增加的被过滤的关键词而避免“非法”的操作吗?你能保证国外的主机提供商能提供优质的服务吗?你能保证你的出口带宽足够访问者的正常访问吗?

  我们的抵抗原因是:我们是非营利的,我们仅代表自己,我们是守法公民,我们不需要被不成法的公文所管理和约束,我们对自己负责!我们拥有宪法赋予的自由议论的权利,我们不希望行政恐吓围绕我们的生活让我们承受心理压力!!如果有必要对非营利信息服务提供者进行监督,那么请人大会议通过一部符合中华人民共和国宪法的法律对我们进行约束吧!

  引用自 以下是《非经营性互联网信息服务备案管理办法》的内容

  中华人民共和国信息产业部令 第33号

  《非经营性互联网信息服务备案管理办法》已经2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过,现予发布,自2005年3月20日起施行。

  部 长:王旭东

  二00五年二月八日

  ======== 非经营性互联网信息服务备案管理办法 ========

  第一条 为规范非经营性互联网信息服务备案及备案管理,促进互联网信息服务业的健康发展,根据《互联网信息服务管理办法》、《中华人民共和国电信条例》及其他相关法律、行政法规的规定,制定本办法。

  第二条 在中华人民共和国境内提供非经营性互联网信息服务,履行备案手续,实施备案管理,适用本办法。

  第三条 中华人民共和国信息产业部(以下简称“信息产业部”)对全国非经营性互联网信息服务备案管理工作进行监督指导,省、自治区、直辖市通信管理局(以下简称 “省通信管理局”)具体实施非经营性互联网信息服务的备案管理工作。拟从事非经营性互联网信息服务的,应当向其住所所在地省通信管理局履行备案手续。

  第四条 省通信管理局在备案管理中应当遵循公开、公平、公正的原则,提供便民、优质、高效的服务。非经营性互联网信息服务提供者从事非经营性互联网信息服务时,应当遵守国家的有关规定,接受有关部门依法实施的监督管理。

  第五条 在中华人民共和国境内提供非经营性互联网信息服务,应当依法履行备案手续。未经备案,不得在中华人民共和国境内从事非经营性互联网信息服务。本办法所称在中华人民共和国境内提供非经营性互联网信息服务,是指在中华人民共和国境内的组织或个人利用通过互联网域名访问的网站或者利用仅能通过互联网IP地址访问的网站,提供非经营性互联网信息服务。

  第六条 省通信管理局通过信息产业部备案管理系统,采用网上备案方式进行备案管理。

  第七条 拟从事非经营性互联网信息服务的,应当通过信息产业部备案管理系统如实填报《非经营性互联网信息服务备案登记表》(以下简称“《备案登记表》”,格式见本办法附录),履行备案手续。信息产业部根据实际情况,对《备案登记表》进行调整和公布。

  第八条 拟通过接入经营性互联网络从事非经营性互联网信息服务的,可以委托因特网接入服务业务经营者、因特网数据中心业务经营者和以其他方式为其网站提供接入服务的电信业务经营者代为履行备案、备案变更、备案注销等手续。

  第九条 拟通过接入中国教育和科研计算机网、中国科学技术网、中国国际经济贸易互联网、中国长城互联网等公益性互联网络从事非经营性互联网信息服务的,可以由为其网站提供互联网接入服务的公益性互联网络单位代为履行备案、备案变更、备案注销等手续。

  第十条 因特网接入服务业务经营者、因特网数据中心业务经营者以及以其他方式为网站提供接入服务的电信业务经营者和公益性互联网络单位(以下统称“互联网接入服务提供者”)不得在已知或应知拟从事非经营性互联网信息服务的组织或者个人的备案信息不真实的情况下,为其代为履行备案、备案变更、备案注销等手续。

  第十一条 拟从事新闻、出版、教育、医疗保健、药品和医疗器械、文化、广播电影电视节目等互联网信息服务,根据法律、行政法规以及国家有关规定应经有关主管部门审核同意的,在履行备案手续时,还应向其住所所在地省通信管理局提交相关主管部门审核同意的文件。拟从事电子公告服务的,在履行备案手续时,还应当向其住所所在地省通信管理局提交电子公告服务专项备案材料。

  第十二条 省通信管理局在收到备案人提交的备案材料后,材料齐全的,应在二十个工作日内予以备案,向其发放备案电子验证标识和备案编号,并通过信息产业部备案管理系统向社会公布有关备案信息;材料不齐全的,不予备案,在二十个工作日内通知备案人并说明理由。

  第十三条 非经营性互联网信息服务提供者应当在其网站开通时在主页底部的中央位置标明其备案编号,并在备案编号下方按要求链接信息产业部备案管理系统网址,供公众查询核对。非经营性互联网信息服务提供者应当在其网站开通时,按照信息产业部备案管理系统的要求,将备案电子验证标识放置在其网站的指定目录下。

  第十四条 非经营性互联网信息服务提供者在备案有效期内需要变更其《备案登记表》中填报的信息的,应当提前三十日登陆信息产业部备案系统向原备案机关履行备案变更手续。

  第十五条 非经营性互联网信息服务提供者在备案有效期内需要终止提供服务的,应当在服务终止之日登陆信息产业部备案系统向原备案机关履行备案注销手续。

  第十六条 非经营性互联网信息服务提供者应当保证所提供的信息内容合法。本办法所称非经营性互联网信息服务提供者提供的信息内容,是指互联网信息服务提供者的网站的互联网域名或IP地址下所包括的信息内容。

  第十七条 省通信管理局应当建立信誉管理、社会监督、情况调查等管理机制,对非经营性互联网信息服务活动实施监督管理。

  第十八条 互联网接入服务提供者不得为未经备案的组织或者个人从事非经营性互联网信息服务提供互联网接入服务。对被省通信管理局处以暂时关闭网站或关闭网站处罚的非经营性互联网信息服务提供者或者非法从事非经营性互联网信息服务的组织或者个人,互联网接入服务提供者应立即暂停或终止向其提供互联网接入服务。

  第十九条 互联网接入服务提供者应当记录其接入的非经营性互联网信息服务提供者的备案信息。互联网接入服务提供者应当依照国家有关规定做好用户信息动态管理、记录留存、有害信息报告等网络信息安全管理工作,根据信息产业部和省通信管理局的要求对所接入用户进行监督。

  第二十条 省通信管理局依法对非经营性互联网信息服务备案实行年度审核。省通信管理局通过信息产业部备案管理系统,采用网上方式进行年度审核。

  第二十一条 非经营性互联网信息服务提供者应当在每年规定时间登陆信息产业部备案管理系统,履行年度审核手续。

  第二十二条 违反本办法第五条的规定,未履行备案手续提供非经营性互联网信息服务的,由住所所在地省通信管理局责令限期改正,并处一万元罚款;拒不改正的,关闭网站。超出备案的项目提供服务的,由住所所在地省通信管理局责令限期改正,并处五千元以上一万元以下罚款;拒不改正的,关闭网站并注销备案。

  第二十三条 违反本办法第七条第一款的规定,填报虚假备案信息的,由住所所在地省通信管理局关闭网站并注销备案。

  第二十四条 违反本办法第十条、第十八条、第十九条的规定的,由违法行为发生地省通信管理局责令改正,并处一万元罚款。

  第二十五条 违反本办法第十三条的规定,未在其备案编号下方链接信息产业部备案管理系统网址的,或未将备案电子验证标识放置在其网站指定目录下的,由住所所在地省通信管理局责令改正,并处五千元以上一万元以下罚款。

  第二十六条 违反本办法第十四条、第十五条的规定,未在规定时间履行备案变更手续,或未依法履行备案注销手续的,由住所所在地省通信管理局责令限期改正,并处一万元罚款。

  第二十七条 非经营性信息服务提供者违反国家有关法律规定,依法应暂停或终止服务的,省通信管理局可根据法律、行政法规授权的同级机关的书面认定意见,暂时关闭网站,或关闭网站并注销备案。

  第二十八条 在年度审核时,非经营性互联网信息服务提供者有下列情况之一的,由其住所所在地的省通信管理局通过信息产业部备案系统等媒体通告责令其限期改正;拒不改正的,关闭网站并注销备案:

  (一)未在规定时间登陆备案网站提交年度审核信息的;

  (二)新闻、教育、公安、安全、文化、广播电影电视、出版、保密等国家部门依法对各自主管的专项内容提出年度审核否决意见的。

  第二十九条 本办法自2005年3月20日起施行。

2005年3月2日星期三

防范ASP木马的措施

  随着ASP技术的发展,网络上基于ASP技术开发的网站越来越多,对ASP技术的支持可以说已经是windows系统IIS服务器的一项基本功能。但是基于ASP技术的木马后门,也越来越多,而且功能也越来越强大。由于ASP它本身是服务器提供的一贡服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为"永远不会被查杀的后门"。由于其高度的隐蔽性和难查杀性,对网站的安全造成了严重的威胁。因此针对ASP木马的防范和清除,为我们的网管人员提出了更高的技术要求。下面我结合个人的经验,谈一下对比较典型的ASP 木马的防范方法,希望对大家能够有所帮助。

  几个大的程序全部被发现存在上传漏洞,小程序更是不计其数,让asp木马一下占据了主流,得到广泛的使用,想必如果你是做服务器的话,一定为此头疼不止吧,特别是虚拟主机的用户都遇到过网页被篡改、数据被删除的经历,事后除了对这种行径深恶痛绝外,许多客户又苦于没有行之有效的防范措施。鉴于大部分网站入侵都是利用asp木马完成的,特写此文章以使普通虚拟主机用户能更好地了解、防范asp木马。也只有空间商和虚拟主机用户共同做好防范措施才可以有效防范asp木马!

  我们首先来说一下怎么样防范好了,说到防范我们自然要对asp木马的原理了,大道理我也不讲了,网上的文章有的是,简单的说asp木马其实就是用asp编写的网站程序,甚至有些asp木马就是由asp网站管理程序修改而来的。就比如说我们常见的asp站长助手,等等。

  它和其他asp程序没有本质区别,只要是能运行asp的空间就能运行它,这种性质使得asp木马非常不易被发觉。它和其他asp程序的区别只在于asp木马是入侵者上传到目标空间,并帮助入侵者控制目标空间的asp程序。严重的从而获取服务器管理员的权限,要想禁止asp木马运行就等于禁止asp的运行,显然这是行不通的,这也是为什么 asp木马猖獗的原因!有人要问了,是不是就没有办法了呢,不,有办法的:

  第一:从源头入手,入侵者是怎么样上传asp木马的呢?一般哟几种方法,通过sql注射手段,获取管理员权限,通过备份数据库的功能将asp木马写入服务器。或者进入后台通过asp程序的上传功能的漏洞,上传木马等等,当然正常情况下,这些可以上传文件的asp程序都是有权限限制的,大多也限制了asp文件的上传。(比如:可以上传图片的新闻发布、图片管理程序,及可以上传更多类型文件的论坛程序等),如果我们直接上传asp木马的话,我们会发现,程序会有提示,是不能直接上传的,但由于存在人为的asp设置错误及asp程序本身的漏洞,给了入侵者可乘之机,实现上传asp木马。

  因此,防范asp木马的重点就在于虚拟主机用户如何确保自己空间中asp上传程序的安全上,如果你是用别人的程序的话,尽量用出名一点的大型一点的程序,这样漏洞自然就少一些,而且尽量使用最新的版本,并且要经常去官方网站查看新版本或者是最新补丁,还有就是那些数据库默认路径呀,管理员密码默认呀,一定要改,形成习惯保证程序的安全性。

  那么如果你是程序员的话,我还想说的一点就是我们在网站程序上也应该尽量从安全的角度上编写涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP 文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限; 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。防止ASP主页。inc文件泄露问题; 防止UE等编辑器生成some.asp.bak文件泄露问题等等特别是上传功能一定要特别注意

  上面的只是对客户的一些要求,但是空间商由于无法预见虚拟主机用户会在自己站点中上传什么样的程序,以及每个程序是否存在漏洞,因此无法防止入侵者利用站点中客户程序本身漏洞上传asp木马的行为。空间商只能防止入侵者利用已被入侵的站点再次入侵同一服务器上其他站点的行为。这也更加说明要防范asp木马,虚拟主机用户就要对自己的程序严格把关! 为此我总结了ASP木马防范的十大原则供大家参考:

  1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。

  2、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。

  这其中包括各种新闻发布、商城及论坛程序,只要可以上传文件的asp都要进行身份认证!

  3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。

  4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。建议我公司的客户使用。mdb的数据库文件扩展名,因为我公司服务器设置了。mdb文件防下载功能。

  5、要尽量保持程序是最新版本。

  6、不要在网页上加注后台管理程序登陆页面的链接。

  7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。

  8、要时常备份数据库等重要文件。

  9、日常要多维护,并注意空间中是否有来历不明的asp文件。记住:一分汗水,换一分安全!

  10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。

  重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。

  做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争。