所谓ASP木马
首先你就必须知道原理
因为用户浏览网页的时候赋予了一个权限！当你执行任何一个网页的时候你也就有使用了给你的这个权限
当这个用户授权使用的是ASP木马。。。。。
于是可以浏览其他的地方，
打个比方吧
皇帝(admin)派个钦差（inter来宾帐号）去一个县(web)管理东西，当这个县城的某个强盗(asp木马执行者)控制了钦差（有了在机子里运行ASP语句的权限），于是他就可以利用钦差来管理其他的皇帝也授权让这个钦差管的地方（很多的web都是使用同一个IIS默认帐号的）
有的时候皇帝的寝宫强盗也可以进去了（因为很多人设置了好多目录访问权限是everone,每个人，当然包括inter来宾帐号）于是就可以行使权利了（删，改）
解决方法：一个地方派一个钦差(user)，也就是说这个人在其他地方无效……就算这个钦差被控制(被上传了木马)，但是他不能对其他地方(web）发命令了，而且皇帝也不给某个地方谁都可以去管的权限(everyone不可以出现！)

http://www.thysea.com/lb/cgi-bin/topic.cgi?forum=126&topic=1031