- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看 1 ]0 W6 a% n* j" K: ~' j
8 C B; w) g3 i9 @0 I原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)* d) B1 d, T( N
信息来源:3.A.S.T网络安全技术团队
* q. q( S7 A" Q1 Y& u防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.. I9 ?& c( F3 [/ k3 m4 G
FileSystemObject组件---对文件进行常规操作.6 K0 ?. `8 V% h( J8 z1 X4 E0 A+ s2 n
WScript.Shell组件---可以调用系统内核运行DOS基本命令.9 Y0 V z e0 r a6 ~! L
Shell.Application组件--可以调用系统内核运行DOS基本命令.2 J2 U% F: |6 d: D4 P, o
; C+ R* ~ U- P
一.使用FileSystemObject组件# b$ e) f# ~0 w" B
7 g) S9 w% m2 M t; y' @+ w1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.( `. v$ H1 m7 V. ` }
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\& S* Q5 K i! B, T# @# i
改名为其它的名字,如:改为FileSystemObject_3800. s" i+ M7 G5 A2 A, d) J
自己以后调用的时候使用这个就可以正常调用此组件了.2 u- r, t* {% u
2.也要将clsid值也改一下0 X$ [* r. g5 g; n! Z$ g7 b
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
$ ^: {0 K: b; z可以将其删除,来防止此类木马的危害.1 t$ R( o: L; j( Y& a5 \
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
* C/ e% n h# s2 }* x* Q) R9 @. S如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
# o. p( `" v$ s+ K4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:0 W$ {& z1 A5 Q& B
cacls C:\WINNT\system32\scrrun.dll /e /d guests
, \3 s& A1 M" z & z, H3 j7 ]/ v/ t. [$ N
& T0 g2 V9 P5 c二.使用WScript.Shell组件' ?% D5 T7 y7 \% f5 j
, y6 P* ?2 z; w2 ?& N& |1.可以通过修改注册表,将此组件改名,来防止此类木马的危害. l l9 d7 Z! O, B3 K
# r$ E( ^9 j h* r
HKEY_CLASSES_ROOT\WScript.Shell\ o8 N/ ~0 L4 f2 y
及5 ~4 u- G/ f7 ] J8 G
HKEY_CLASSES_ROOT\WScript.Shell.1\6 P% k8 d, p9 n% v
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
: F4 y6 F& [( u) z/ A自己以后调用的时候使用这个就可以正常调用此组件了0 G# Y0 ?0 j# o% Y* M# G
" e9 w' j! t' o) @6 R
2.也要将clsid值也改一下
$ V+ }" n/ _) Q$ a0 t1 g% IHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值 l1 W) i3 s5 {5 m3 C
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值6 w( j" y' h# z; M
也可以将其删除,来防止此类木马的危害。
0 w% G+ [1 Z4 a& p, g" I9 B2 [ / {/ `# Y3 ?) F; p1 _$ Z+ T m
三.使用Shell.Application组件
5 O) x6 A0 y: l2 i& F* d9 `
( R: j8 Y! _6 x: h- |1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
9 Z6 @6 Y3 t) G. j/ J3 l# C1 gHKEY_CLASSES_ROOT\Shell.Application\8 a& l C3 H& @& n
及
5 r& J; p8 } l% R, v- v" n% RHKEY_CLASSES_ROOT\Shell.Application.1\
+ N7 Z, H+ T4 x4 Y1 `5 Q2 `改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName' J4 C G! `% y% A6 H
自己以后调用的时候使用这个就可以正常调用此组件了$ F8 @% |1 @( ~9 `4 `' j% g: N
2.也要将clsid值也改一下: Y/ _7 c* j! W. a* e5 C
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
( M' B5 Y( A: W% Q3 MHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值! m' W- Y! l: y- M
也可以将其删除,来防止此类木马的危害。& G4 _5 o, @4 `7 h5 C/ `
~- n! e' o% |9 s3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
$ U" K; I7 P- l5 H: j+ L+ t' f2 ~cacls C:\WINNT\system32\shell32.dll /e /d guests7 ?. J% J1 T& Q, Y: t8 m 5 z% k# K) f; d% E. m& d: K" t. U
四.调用cmd.exe
: H5 g! C$ B: X% b+ u, o
1 B! {$ z5 L( o禁用Guests组用户调用cmd.exe命令:
, x1 }# L) D( S! v( }: n1 jcacls C:\WINNT\system32\Cmd.exe /e /d guests
/ C( ~, r& D: d1 m- A3 A & L% L3 x' R* y: H- i8 G
( k+ [# p1 z4 i0 h
五.其它危险组件处理:
& x9 N4 U7 x& C# ~- a: U
/ {: ^+ l$ ^$ e* V& Y8 BAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) # y6 \1 f: R Y, w, k
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)# W+ p' p6 J& T* D6 z1 ~
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74): V7 e# m9 y% }- v" d 3 X, K/ }2 f) g0 I7 I# _6 `8 a
) P- n6 O7 V, }6 u8 U2 k3 {按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.; f) r5 k/ v& a% |
& P, v |/ N2 g4 A, X3 nPS:有时间把图加上去,或者作个教程 |
|