今天我的服務器很多客戶的網站都被掛了 黑鏈接。我就開始查。然后清木馬！

因為我服務器本來就設置過權限。因為很多客戶的網站都是同一個漏洞。他都可以入侵。

都是上傳漏洞。但是全部去堵得話太多了。于是就找了方法。

就是設置上傳的ASP木馬不能運營。因為他上傳的木馬都是在 上傳目錄里。

所有把這個設置不能執行腳本就OK了。這樣快一點。

下面就具體的介紹!

例1 —— ASP、PHP、ASP.NET 程序所在目錄的權限設置：
如果這些程序是要執行的，那么需要設置“讀取”權限，并且設置執行權限為“純腳本”。不要設置“寫入”和“腳本資源訪問”，更不要設置執行權限為“純腳本和可執行程序”。NTFS 權限中不要給 IIS_WPG 用戶組和 Internet 來賓帳號設置寫和修改權限。如果有一些特殊的配置文件（而且配置文件本身也是 ASP、PHP 程序），則需要給這些特定的文件配置 NTFS 權限中的 Internet 來賓帳號（ASP.NET 程序是 IIS_WPG 組）的寫權限，而不要配置 IIS 屬性面板中的“寫入”權限。

IIS 面板中的“寫入”權限實際上是對 HTTP PUT 指令的處理，對于普通網站，一般情況下這個權限是不打開的。

IIS 面板中的“腳本資源訪問”不是指可以執行腳本的權限，而是指可以訪問源代碼的權限，如果同時又打開“寫入”權限的話，那么就非常危險了。

執行權限中“純腳本和可執行程序”權限可以執行任意程序，包括 exe 可執行程序，如果目錄同時有“寫入”權限的話，那么就很容易被人上傳并執行木馬程序了。

對于 ASP.NET 程序的目錄，許多人喜歡在文件系統中設置成 Web 共享，實際上這是沒有必要的。只需要在 IIS 中保證該目錄為一個應用程序即可。如果所在目錄在 IIS 中不是一個應用程序目錄，只需要在其屬性->目錄面板中應用程序設置部分點創建就可以了。Web 共享會給其更多權限，可能會造成不安全因素。

總結: 也就是說一般不要打開-主目錄-(寫入),(腳本資源訪問) 這兩項以及不要選上(純腳本和可執行程序),選(純腳本)就可以了.需要asp.net的應用程序的如果應用程序目錄不止應用程序一個程序的可以在應用程序文件夾上(屬性)-目錄-點創建就可以了.不要在文件夾上選web共享.

例2 —— 上傳目錄的權限設置：
用戶的網站上可能會設置一個或幾個目錄允許上傳文件，上傳的方式一般是通過 ASP、PHP、ASP.NET 等程序來完成。這時需要注意，一定要將上傳目錄的執行權限設為“無”，這樣即使上傳了 ASP、PHP 等腳本程序或者 exe 程序，也不會在用戶瀏覽器里就觸發執行。

同樣，如果不需要用戶用 PUT 指令上傳，那么不要打開該上傳目錄的“寫入”權限。而應該設置 NTFS 權限中的 Internet 來賓帳號（ASP.NET 程序的上傳目錄是 IIS_WPG 組）的寫權限。

如果下載時，是通過程序讀取文件內容然后再轉發給用戶的話，那么連“讀取”權限也不要設置。這樣可以保證用戶上傳的文件只能被程序中已授權的用戶所下載。而不是知道文件存放目錄的用戶所下載。“瀏覽”權限也不要打開，除非你就是希望用戶可以瀏覽你的上傳目錄，并可以選擇自己想要下載的東西。

總結: 一般的一些asp.php等程序都有一個上傳目錄.比如論壇.他們繼承了上面的屬性可以運行腳本的.我們應該將這些目錄從新設置一下屬性.將(純腳本)改成(無).

例3 —— Access 數據庫所在目錄的權限設置：
許多 IIS 用戶常常采用將 Access 數據庫改名（改為 asp 或者 aspx 后綴等）或者放在發布目錄之外的方法來避免瀏覽者下載它們的 Access 數據庫。而實際上，這是不必要的。其實只需要將 Access 所在目錄（或者該文件）的“讀取”、“寫入”權限都去掉就可以防止被人下載或篡改了。你不必擔心這樣你的程序會無法讀取和寫入你的 Access 數據庫。你的程序需要的是 NTFS 上 Internet 來賓帳號或 IIS_WPG 組帳號的權限，你只要將這些用戶的權限設置為可讀可寫就完全可以保證你的程序能夠正確運行了。

總結: Internet 來賓帳號或 IIS_WPG 組帳號的權限可讀可寫.那么Access所在目錄（或者該文件）的“讀取”、“寫入”權限都去掉就可以防止被人下載或篡改了

例4 —— 其它目錄的權限設置：
你的網站下可能還有純圖片目錄、純 html 模版目錄、純客戶端 js 文件目錄或者樣式表目錄等，這些目錄只需要設置“讀取”權限即可，執行權限設成“無”即可。其它權限一概不需要設置。
上面的幾個例子已經包含了大部分情況下的權限設置，只要掌握了設置的基本原理，也就很容易地完成能其它情況下的權限設置。