在IIS6的默认设置中,同一服务器上所有站点的internet匿名浏览访问都是用的IUSER帐号,因此要把所有站点的目录都对IUSER帐号开放读权限,这就导致如果某站点的FTP用户(或被后台入侵者)上传了ASP木马,就可以跳转到其他站点目录里去查看所有文件。因为ASP木马是通过IUSER帐号来执行的,所有站点目录都可读。
经网友指点,明白了可以在IIS中作如下设置来禁止ASP木马的这种跳转访问:
对各站点使用guests组中不同的帐号来当作匿名用户浏览网页时的访问帐号,然后对不同站点的目录分别给予各帐号的访问权限,就行了。 | 
站点公告
