    
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
4 @" z. r2 g y6 `3 }, Z
0 B* @. A0 R7 i1 R3 D& ]9 s' v原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
! Y. x) x8 P3 m信息来源:3.A.S.T网络安全技术团队3 m: h! Q4 f" G- Q; `# O7 R, m' ?
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.# n8 B3 z0 M, Y2 G, A
FileSystemObject组件---对文件进行常规操作.% q; C8 M7 `: t' J/ J4 g% B
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
8 i$ e% a1 h# f, t: r' OShell.Application组件--可以调用系统内核运行DOS基本命令.8 K5 s/ ]) s0 F3 L% L
/ S- |! N" m% ?8 Y/ a1 z3 k一.使用FileSystemObject组件" |/ j! @/ {7 c6 M: d, t3 M. A. e5 W0 R
Y$ }0 u9 }& Y" U0 V) }
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.5 z7 J6 b2 d& I! }( i" b0 L" v
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
* p" u- O, g3 v# |; h* h改名为其它的名字,如:改为FileSystemObject_3800
7 t9 b0 x. ] J: I自己以后调用的时候使用这个就可以正常调用此组件了.2 Z9 ?6 z" R0 ?0 Y
2.也要将clsid值也改一下
1 }# L+ p t# n9 ~% tHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
& {- ?5 e1 `' `9 z8 a5 i9 j+ x可以将其删除,来防止此类木马的危害.
2 N* q# f) |* y1 l E, H3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 2 X+ F2 w! s; m) ?+ B+ f: k2 M
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
( w5 p7 f4 ^3 \- f6 ]4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:, c+ |2 ^7 W5 E& v8 Y, e4 C6 ~
cacls C:\WINNT\system32\scrrun.dll /e /d guests
2 ^7 a: K% @7 ] 6 o/ i% m5 D, G" _2 m" `
& l3 P1 Q0 ^3 N3 M* z
二.使用WScript.Shell组件7 \/ P* Z! L) M2 p0 t
+ k( K# g1 J$ w1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.' r) {$ j7 ^1 D' @
& D! P" i7 P& m) dHKEY_CLASSES_ROOT\WScript.Shell\0 T+ w |4 v/ D2 G; G1 N0 Q
及7 v5 A+ c- {6 ]7 J9 @* |
HKEY_CLASSES_ROOT\WScript.Shell.1\. E* v2 w' u9 L4 r) b. [) x
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc, M; Y0 E' N. E! f
自己以后调用的时候使用这个就可以正常调用此组件了
" X3 w! N5 y5 x1 }5 _- r# U0 S' M, ?& {( H- a2 x1 V N1 x
2.也要将clsid值也改一下
$ u! Q, U, K0 x' V: ^) R. hHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
$ V0 H% @ b* A' ^HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值6 }) ^! q( x$ v) B' o$ U
也可以将其删除,来防止此类木马的危害。: V3 e/ ?: l8 k" ^$ O1 Y; B
" i0 ~0 r: Y* Y" Z9 I三.使用Shell.Application组件( E2 y) s- y' S
+ Y! p* c' t. \
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
# @4 t8 m) H. v3 ]' ^, G' xHKEY_CLASSES_ROOT\Shell.Application\+ W- o4 w* S9 y" C- {
及% A, x$ s/ g8 t) Y8 n9 e7 m
HKEY_CLASSES_ROOT\Shell.Application.1\
5 k+ r% n" s% z8 d. }' F改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName/ K. r+ Q8 D/ f; Y
自己以后调用的时候使用这个就可以正常调用此组件了
! l. J" E4 o& _4 j, ?2.也要将clsid值也改一下: W8 E# V7 [: _% {
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
6 b; ]& c( f, ?; UHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
1 K9 f. @" S+ D" m" n& x也可以将其删除,来防止此类木马的危害。5 [% C6 X# l& c( z, j
6 V8 y9 C" Q" a
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
+ o5 b$ | \8 hcacls C:\WINNT\system32\shell32.dll /e /d guests
# u* h, i; I, |9 i. v( s; L 5 s# s; N% o! F- N, e
四.调用cmd.exe1 P! K) J" f4 }( ^# A& b
8 D, |5 a( I+ p3 _! F2 s
禁用Guests组用户调用cmd.exe命令:
. C, y) ]6 P3 i" m, e0 u$ O; dcacls C:\WINNT\system32\Cmd.exe /e /d guests
1 V$ j9 F0 `* o! \4 f r 9 P. k6 q, T, G9 `8 h1 {
" X. G# u7 o% M" v% ]
五.其它危险组件处理:
2 _4 R6 q3 e1 H5 W' r1 j* t
* [2 K7 P/ p! m: p7 `Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 8 |! A' i: E8 g( |" _: _
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
6 W7 G* G$ f+ b: sWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)+ G1 P6 W; T7 b5 V8 G 8 \" ^7 X. x8 w# A5 j5 R% K
S: ?0 I" r% u3 [) z) L按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
8 g6 p: p( B2 |/ _- ?. b% y4 c) j3 L8 M; m
PS:有时间把图加上去,或者作个教程 |
|