![Rank: 15](images/default/star_level3.gif) ![Rank: 15](images/default/star_level3.gif) ![Rank: 15](images/default/star_level3.gif) ![Rank: 15](images/default/star_level2.gif) ![Rank: 15](images/default/star_level1.gif)
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
![管理组 管理组](images/common/medal1.gif) ![高手勋章 高手勋章](images/common/medal2.gif) ![核心成员 核心成员](images/common/medal4.gif) ![原创奖章 原创奖章](images/common/medal5.gif) ![帅哥勋章 帅哥勋章](images/common/medal9.gif) ![突出贡献奖 突出贡献奖](images/common/2.gif) ![优质人品奖章 优质人品奖章](images/common/6.gif) ![论坛元老 论坛元老](images/common/7.gif) ![管理组成员 管理组成员](images/common/8.gif) ![技术组成员 技术组成员](images/common/9.gif)
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看 N; f c# K& R- W8 V% l* F L
3 L/ B- m- C0 n/ I8 a+ Y. `6 K; R( o
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
% P( z1 L8 n" a M/ D信息来源:3.A.S.T网络安全技术团队
, R$ s% u2 w; H3 c w防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
8 w2 Q( r8 G8 |4 m) K rFileSystemObject组件---对文件进行常规操作.
; c4 p w( ? }WScript.Shell组件---可以调用系统内核运行DOS基本命令.6 T% P: [, v$ q7 p( }' M. a
Shell.Application组件--可以调用系统内核运行DOS基本命令.
* K G. j' ?: \" ^# Y: G4 w, ?2 r O
一.使用FileSystemObject组件/ P6 N' x5 ]$ E3 [% X; S+ U1 w e8 g& ?% j
, b6 }* J) ]2 M9 L1.可以通过修改注册表,将此组件改名,来防止此类木马的危害." G4 u* s0 a/ c, x
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
2 y; M/ s1 U6 d6 {0 f6 ~2 V& ]改名为其它的名字,如:改为FileSystemObject_3800. I$ ^/ e' F( }6 y5 W9 ?8 \5 {* B
自己以后调用的时候使用这个就可以正常调用此组件了.0 E O e' K/ W0 Q, C
2.也要将clsid值也改一下
j! [, I: k4 d7 s8 THKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值* N, B2 G$ @$ X5 U
可以将其删除,来防止此类木马的危害./ Q0 Q" i2 K; X& n1 D: n
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll & I( C; ]& v2 O- ?: X
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
+ S. D9 p: R% e' s$ k4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
0 E1 _6 h) i2 Z- L0 C9 |cacls C:\WINNT\system32\scrrun.dll /e /d guests
5 ^. F9 y9 i) o: t. `$ |
* g' _4 u# O/ ?1 p# s9 |, u- w9 f% }6 Y( Z' {% z [% B, S+ s
二.使用WScript.Shell组件4 g, ?0 h! {9 x7 P" c# L
' ?& w9 v E" m
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
9 d: l* M1 B1 ]$ S2 S% \5 _: ?" z$ J( V
HKEY_CLASSES_ROOT\WScript.Shell\- R7 l! ] z. S r: S: X. ]) c
及7 ?' E: D7 s8 _( M6 @
HKEY_CLASSES_ROOT\WScript.Shell.1\
4 j" k; L3 C$ m) v6 _7 X& X; E改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
/ W% s6 p- T ?5 A+ Z0 a3 [9 V自己以后调用的时候使用这个就可以正常调用此组件了
5 S/ m& i' ~! b1 S! b+ ~& a) r( b( Y7 s# w# h4 Q- @- F! ~
2.也要将clsid值也改一下
/ B, b6 L$ F/ L1 ] M6 y1 k7 WHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值: u; d5 P( D3 q( G. `
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
+ x; R7 y0 t7 Z1 B- r4 r也可以将其删除,来防止此类木马的危害。
% U0 e% h. g+ ~' s, a' D
6 G/ R* d# Y, \6 L: k8 J+ }三.使用Shell.Application组件. Z$ V6 a e# _. n/ q: c) p
/ G% a+ K4 a0 A2 v* N' R1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
' i% d4 h/ j, ^) A CHKEY_CLASSES_ROOT\Shell.Application\
8 W Y" U- B: S及
: _9 ? i& v: p U# ^4 w- UHKEY_CLASSES_ROOT\Shell.Application.1\
) d# j$ W8 N8 Y5 v1 k6 c/ D7 z: x! v改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName2 k* P# }) ^9 R* ?
自己以后调用的时候使用这个就可以正常调用此组件了3 u9 E" s0 v' p( d9 C5 D4 ~
2.也要将clsid值也改一下
# `) M9 c' N1 E6 R& A# w0 r+ y2 ZHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
( ^* a9 j4 c9 G: OHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
' U3 B( m! q; o8 `; A% ~也可以将其删除,来防止此类木马的危害。7 m$ h V9 E% |4 e
) ]# `* ]5 z- s9 O$ p* X3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
, L' t. L1 ]- [' k8 z! R; w4 b' ?cacls C:\WINNT\system32\shell32.dll /e /d guests
# [, L" K2 Z9 Y) v8 `+ s
' z( M5 ~ l. x: ~3 P8 \四.调用cmd.exe
! U/ ]5 q# h% c 2 u* p0 `! _9 w$ Z7 g
禁用Guests组用户调用cmd.exe命令:3 \: ~" T2 n: C
cacls C:\WINNT\system32\Cmd.exe /e /d guests3 W( l: T2 d* H& n
9 t8 L1 C9 N( J* k& w) @( R4 y+ S
五.其它危险组件处理:: x( Y- Z& J9 R4 F+ r( s0 a/ t; a
2 Y) m4 I8 m, a; v7 V$ Z
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 5 I. m" h# {7 R1 |
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
0 R' P) d( B; F0 d f: AWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)$ ~5 v4 l% y7 a9 K2 Q( d. M8 ~
( r* G* |" f$ q7 ^3 C+ U- v- E2 B' g
8 q; @2 M" C7 O+ w+ W按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
- b( u/ |" N& L H' k" e& Q B1 a: N
PS:有时间把图加上去,或者作个教程 |
|