文件防篡改 - 禁止 IIS读取 Global.asa 文件的规则说明

Global.asa 木马有什么特点？

    网站被加入Global.asa木马后，通常情况下从百度搜索看到的内容，是一些挂马链接，直接
从 IE浏览器输入域名直接打开看到的网站内容完全正常。此网页木马判断了 User-Agent内容，如
果是百度、谷歌等搜索，在显示挂马内容，如果是普通浏览器，在显示网页正常内容，因为具有一定的
隐蔽性。

1、打开IIS防火墙的管理界面，然后选择“→ 文件防篡改保护（文件锁定）”功能

    当前“文件防篡改”功能已经内置到IIS防火墙软件里，使用之前需要先安装IIS防火墙
软件，如果未安装，请从这里下载安装 https://www.zcnt.com/iis.asp

第一次使用，需要设置保护规则，点“增加新文件防篡改保护规则”的选择，如下图红色箭头所示

2、进入文件防篡改规则设置界面后，填写保护规则

（1）填写需要保护的目录名字，例如

d:\home\网站111\wwwroot
d:\home\网站222\wwwroot
d:\home\网站333\wwwroot

注，这里的网站目录，必须自身未包含 Global.asa 文件，如果网站本身需要读取 Global.asa 文件则不能保护

（2）填写需要保护的文件类型，本规则保护 global.asa 只需要填写 2个文件名


global.asa
global.asax


这组规则，只加这2个文件名，其他内容不要加入。

（3）选择保护方式，通常情况下，勾选4个“禁止读取”、“禁止写入与修改”、“禁止改名”和“禁止删除”
（4）设置完成后，点提交保存设置

3、 规则设置完成后，点启用防篡改保护，然后选择重启IIS，刚才设置的保护规则就生效了

4、测试文件防篡改保护效果

我们来做一个测试，找一个 ASP.NET木马，然后选择文件编辑功能，测试是否可以修改文件。通过 ASP.NET木马，打开已经存在global.asa文件

5、由于我们设置了文件防篡改保护规则，保存的时候，就会提示“没有权限”、“无法写入”等错误提示，这样，就可以阻止黑客在网站里上传或写入文件了

6、我们用ASP木马的文件上传功能做一个测试，测试看看是否可以上传 global.asa 木马文件到服务器里

选择需要上传的文件，然后点“上传”

7、此时提示“写入文件失败”，被保护的目录，已经无法上传 global.asa 文件了

8、如果黑客有上传文件，或试图写入文件，通过防篡改日志记录可以进行日志查询

日志文件保存在服务器的的 C:\wzxStopKeyWord\log 目录里，打开这个目录找到 FileLock 开头的日志文件，然后用记事本打开，就可以看到我们刚才的日志记录

9、如果在使用过程中遇到问题，或需要技术支持，请联系我们的客服人员，我们将热诚为您服务