返回列表 发帖

[原创文章] 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看

4 @" z. r2 g  y6 `3 }, Z
0 B* @. A0 R7 i1 R3 D& ]9 s' v原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
! Y. x) x8 P3 m信息来源:3.A.S.T网络安全技术团队3 m: h! Q4 f" G- Q; `# O7 R, m' ?
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.# n8 B3 z0 M, Y2 G, A
FileSystemObject组件---对文件进行常规操作.% q; C8 M7 `: t' J/ J4 g% B
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
8 i$ e% a1 h# f, t: r' OShell.Application组件--可以调用系统内核运行DOS基本命令.8 K5 s/ ]) s0 F3 L% L

/ S- |! N" m% ?8 Y/ a1 z3 k一.使用FileSystemObject组件" |/ j! @/ {7 c6 M: d, t3 M. A. e5 W0 R
  Y$ }0 u9 }& Y" U0 V) }
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.5 z7 J6 b2 d& I! }( i" b0 L" v
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
* p" u- O, g3 v# |; h* h改名为其它的名字,如:改为FileSystemObject_3800
7 t9 b0 x. ]  J: I自己以后调用的时候使用这个就可以正常调用此组件了.2 Z9 ?6 z" R0 ?0 Y
2.也要将clsid值也改一下
1 }# L+ p  t# n9 ~% tHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
& {- ?5 e1 `' `9 z8 a5 i9 j+ x可以将其删除,来防止此类木马的危害.
2 N* q# f) |* y1 l  E, H3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  2 X+ F2 w! s; m) ?+ B+ f: k2 M
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
( w5 p7 f4 ^3 \- f6 ]4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:, c+ |2 ^7 W5 E& v8 Y, e4 C6 ~
cacls C:\WINNT\system32\scrrun.dll /e /d guests
2 ^7 a: K% @7 ]
6 o/ i% m5 D, G" _2 m" `
& l3 P1 Q0 ^3 N3 M* z
二.使用WScript.Shell组件7 \/ P* Z! L) M2 p0 t

+ k( K# g1 J$ w1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.' r) {$ j7 ^1 D' @

& D! P" i7 P& m) dHKEY_CLASSES_ROOT\WScript.Shell\0 T+ w  |4 v/ D2 G; G1 N0 Q
7 v5 A+ c- {6 ]7 J9 @* |
HKEY_CLASSES_ROOT\WScript.Shell.1\. E* v2 w' u9 L4 r) b. [) x
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc, M; Y0 E' N. E! f
自己以后调用的时候使用这个就可以正常调用此组件了
" X3 w! N5 y5 x1 }5 _- r# U0 S' M, ?& {( H- a2 x1 V  N1 x
2.也要将clsid值也改一下
$ u! Q, U, K0 x' V: ^) R. hHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
$ V0 H% @  b* A' ^HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值6 }) ^! q( x$ v) B' o$ U
也可以将其删除,来防止此类木马的危害。: V3 e/ ?: l8 k" ^$ O1 Y; B

" i0 ~0 r: Y* Y" Z9 I三.使用Shell.Application组件( E2 y) s- y' S
+ Y! p* c' t. \
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
# @4 t8 m) H. v3 ]' ^, G' xHKEY_CLASSES_ROOT\Shell.Application\+ W- o4 w* S9 y" C- {
% A, x$ s/ g8 t) Y8 n9 e7 m
HKEY_CLASSES_ROOT\Shell.Application.1\
5 k+ r% n" s% z8 d. }' F改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName/ K. r+ Q8 D/ f; Y
自己以后调用的时候使用这个就可以正常调用此组件了
! l. J" E4 o& _4 j, ?2.也要将clsid值也改一下: W8 E# V7 [: _% {
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
6 b; ]& c( f, ?; UHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
1 K9 f. @" S+ D" m" n& x也可以将其删除,来防止此类木马的危害。5 [% C6 X# l& c( z, j
6 V8 y9 C" Q" a
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
+ o5 b$ |  \8 hcacls C:\WINNT\system32\shell32.dll /e /d guests
# u* h, i; I, |9 i. v( s; L
5 s# s; N% o! F- N, e
四.调用cmd.exe1 P! K) J" f4 }( ^# A& b
8 D, |5 a( I+ p3 _! F2 s
禁用Guests组用户调用cmd.exe命令:
. C, y) ]6 P3 i" m, e0 u$ O; dcacls C:\WINNT\system32\Cmd.exe /e /d guests
1 V$ j9 F0 `* o! \4 f  r
9 P. k6 q, T, G9 `8 h1 {
" X. G# u7 o% M" v% ]
五.其它危险组件处理:
2 _4 R6 q3 e1 H5 W' r1 j* t

* [2 K7 P/ p! m: p7 `Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 8 |! A' i: E8 g( |" _: _
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
6 W7 G* G$ f+ b: sWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)+ G1 P6 W; T7 b5 V8 G
8 \" ^7 X. x8 w# A5 j5 R% K

  S: ?0 I" r% u3 [) z) L按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
8 g6 p: p( B2 |/ _- ?. b% y4 c) j3 L8 M; m
PS:有时间把图加上去,或者作个教程
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

我本机测试了下: W6 G3 s/ S6 _7 ?* J% D: u
& z, t: S2 h  M( @& A* h/ J$ u& X
如果更改了相应的组件之后,ASP木马就完全打不开了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

有控发点图上来对比下
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

哦 学习了  知己知彼方能。。。。:)
10字节写啥

TOP

学习了……:D

TOP

发点图比较容易吸收。。:lol    不过这样也行。

TOP

谢谢楼主分享技术。。

TOP

返回列表