返回列表 发帖

[原创文章] 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看

6 N! |. T5 M6 M  s; B# D4 S. n% D. f6 I% L! x1 h/ {( }
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)" p( U$ m# Q$ l2 d0 C- }! g5 i
信息来源:3.A.S.T网络安全技术团队
3 o6 [5 v* Q! D  h  ^9 Q& ]防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
% f5 S" h) S, mFileSystemObject组件---对文件进行常规操作.
+ J7 S/ H+ u, A+ I5 L% I6 bWScript.Shell组件---可以调用系统内核运行DOS基本命令.. A" s2 l* K+ k
Shell.Application组件--可以调用系统内核运行DOS基本命令.
' ~6 w. l3 j( b$ E0 J; [
; |+ C) p7 {  P/ H; N) l0 F/ I" Q一.使用FileSystemObject组件* A1 m8 m; g2 l$ h
5 i: z  V, J7 x- a
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.9 e# h* K$ s9 A# l0 B: B7 j
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\0 J4 j  ?' w/ u8 k+ r
改名为其它的名字,如:改为FileSystemObject_3800
- s! [: _) x0 n; ~9 h自己以后调用的时候使用这个就可以正常调用此组件了.9 k  G% v9 j9 v; d
2.也要将clsid值也改一下2 m1 m9 M) }$ B" ]4 {' ~3 q. C3 w
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
/ C; S& P. C! P% _/ @可以将其删除,来防止此类木马的危害.2 s. A" d1 ?- v6 }- |9 l9 F; ?
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  ; g7 W) R4 z1 Z# d2 b( _2 ^& M
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
" C. n* {6 B# L4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:9 z% Y: V1 @! ?* Y8 `  u0 v
cacls C:\WINNT\system32\scrrun.dll /e /d guests8 ~" C) H2 j4 @( a- Y( i* [

. n+ r; d$ }( P6 s: n- w. N/ u/ ]% t* q
二.使用WScript.Shell组件+ ^# s' D  F5 T/ t4 x

/ }( z: F( T. w" |' i6 y0 L. Z1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.5 {" e' S: D8 ]' ]5 f

0 G* C$ t0 i+ n+ t; n) C* c# w+ FHKEY_CLASSES_ROOT\WScript.Shell\
8 Y9 x2 e  V+ R0 H% X3 M$ r! m9 N" r. U
7 w9 M/ \4 v" cHKEY_CLASSES_ROOT\WScript.Shell.1\% [/ I' d3 }. {: U% ^
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
! d# G1 E  ~8 ^  r( W5 a自己以后调用的时候使用这个就可以正常调用此组件了; S7 J. q. v2 h- s% \: n# n

0 x0 F, C& n  D5 K9 L. Z, ]2.也要将clsid值也改一下
6 \5 i% t/ S% M5 Q- H% f5 A/ GHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值) N3 [. E* @9 Y* g" _9 ^
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值4 ]9 d7 o! ~: a1 D. B
也可以将其删除,来防止此类木马的危害。  w4 O4 x1 D% i3 q4 X
$ h: _' {# W2 S& w. U% w
三.使用Shell.Application组件
, X1 U7 N) x3 E2 v' }/ V+ S

1 T8 s6 T7 q" y! {- |6 \# s8 l1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。- w' ~  u, ]( f2 u' L5 _
HKEY_CLASSES_ROOT\Shell.Application\) I6 U! }4 ]" q0 S+ u; C0 B! c/ Z

1 B- u5 D9 ], Z7 a( AHKEY_CLASSES_ROOT\Shell.Application.1\& B6 p/ E0 M  |/ o
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName  x3 u* K4 ^9 H- _( H7 y1 I
自己以后调用的时候使用这个就可以正常调用此组件了4 u4 [" l) o9 m5 m$ Z3 _
2.也要将clsid值也改一下; R9 |3 \" @  f& S5 ^* {, l
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
/ h6 p1 j- N5 }- sHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值$ L$ |$ u- E- z/ ^9 x
也可以将其删除,来防止此类木马的危害。
0 x9 Z5 {8 J2 X7 o4 K+ n$ K8 a$ X
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
2 _1 x0 i. y1 g: D1 o* Acacls C:\WINNT\system32\shell32.dll /e /d guests5 v' h; s5 l# |8 z/ h9 u
1 ^% \( s  E" B9 b' q
四.调用cmd.exe! K6 ^1 A3 \3 T7 A

9 c/ M% ^8 O# O& T* g4 {5 ^禁用Guests组用户调用cmd.exe命令:
* G/ ^0 s6 s. x( D8 p! p7 k2 `/ Mcacls C:\WINNT\system32\Cmd.exe /e /d guests1 ^* p) P; {, O5 v

9 l+ g6 h/ |1 Q3 b# O" W# A3 V$ ^& p
五.其它危险组件处理:5 g, O' a! I' f
! g) i: \, G5 N9 Z
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
) f5 p# S6 K) l8 D1 f4 `$ HWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)8 G! Z$ a8 Q+ c+ c" P- b
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
+ k6 C+ `2 w: f5 I: A

2 d1 m: B! G4 e$ \
. K# [9 j/ U; a* J/ ^& r6 Z0 U0 h按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
$ X4 `2 U5 Y% K; Q. H8 K0 z  g' ~+ ]" d1 H' W5 H* f* }
PS:有时间把图加上去,或者作个教程
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

我本机测试了下1 \; J1 T/ S$ L% g) g/ q/ U; N

3 U; J8 _5 k6 L6 w如果更改了相应的组件之后,ASP木马就完全打不开了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

有控发点图上来对比下
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

哦 学习了  知己知彼方能。。。。:)
10字节写啥

TOP

学习了……:D

TOP

发点图比较容易吸收。。:lol    不过这样也行。

TOP

谢谢楼主分享技术。。

TOP

返回列表