Global.asa 文件是asp.net应用中一个可选的文件，它可包含可被 ASP 应用程序中每个页面访问的对象、变量以及方法的声明。详细介绍：

http://www.w3school.com.cn/asp/asp_globalasa.asp

该文件的作用就是让web网站所有asp文件先执行它，因此，只要把木马加到这个文件里，所有asp文件都会中这个病毒。

最近某客户网站的web根目录下就被频繁上传了global.asa木马文件，导致整个网站无法访问。

global.asa文件木马内容如下：

 

红框对应的web链接内容如下（小鲜肉头像你懂得^--^）：

 

所有对该网站的访问会话都会链接到类似办证的网页。

通过查看后台文件修改日志，发现该文件是通过iis的进程w3wp.exe上传的，由此基本可以判断web网站存在文件上传漏洞，由于无法去修改客户的应用，并且应用中global.asa文件不是必备的，只能想办法阻止根目录global.asa文件上传。

阻止上传恶意global.asa文件方法

要组织恶意global.asa文件的上传，可以在web网站根目录下新建一个global.asa的空文件，设置该文件的权限为管理员只读，其他文件均无法读写。

默认对该文件有读写权限的用户包括Everyone、SYSTEM、Administrators、Users，需要删除非administrators以外的用户的权限，最后只保留administrator的只读权限：

如果不想显示该文件，可以作为隐藏文件隐藏掉，后续攻击者无法再利用web应用的漏洞在该网站根目录上传名称为global.asa的文件了。

局限性：

（1）木马文件名称一旦变化，无法阻止；

（2）其他目录无法阻止上传；

不过考虑到根目录的挂马global.asa的危害很大，上述方法可以阻止对整个网站的影响。