返回列表 发帖

[原创文章] 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看

0 b/ M6 O9 u* m* p' f1 E* W
( \' Y* P1 {; V# P+ w原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
% r  j+ M, g, L: Q: X信息来源:3.A.S.T网络安全技术团队6 O1 J& y% B) G
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
3 \. \# X) n& W; kFileSystemObject组件---对文件进行常规操作.
; q0 j0 H- s2 I7 jWScript.Shell组件---可以调用系统内核运行DOS基本命令.
4 D2 k# I. T$ @; E+ d2 K% s& V! d" `Shell.Application组件--可以调用系统内核运行DOS基本命令.& Q! |8 T6 F7 @4 I4 U9 c

, _% |4 r- Q% Q. S7 i! t5 P一.使用FileSystemObject组件
+ D5 }$ Y1 _2 l4 Q% S( Y8 q0 ]5 E  h
+ s: q  s8 S7 o$ n6 w8 u
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.* I6 c1 S6 m. h
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\4 n0 M# Q0 }/ t3 a* {! a) b4 n
改名为其它的名字,如:改为FileSystemObject_38008 ?2 K7 K' X, Q8 w9 K
自己以后调用的时候使用这个就可以正常调用此组件了.
8 h$ w9 L  [! H$ ~2.也要将clsid值也改一下2 y) l+ b) s. r9 F( \  ]3 ?. ~) i0 V+ g
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
0 O6 ?7 f" L& S  a- ~可以将其删除,来防止此类木马的危害.# g: m2 ~4 ?# U1 N1 v( D2 W
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
" r  g* V& O; @  h- _) t6 C6 I3 A如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
) A9 g" X% y0 F; F) V: X/ n  C& u4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:* V; ^8 V0 r- ^& Q- o
cacls C:\WINNT\system32\scrrun.dll /e /d guests
* q" r: R; {- V5 G- P% |/ K$ b

" e) ^% S* \9 X% F  i
/ v6 T% h# M5 R5 n5 U2 o$ b% u二.使用WScript.Shell组件/ p$ O3 }' p9 H. x& ~

5 P/ f. S6 ?$ y# F1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
. R7 t& F- M! T: J" J, `  N5 b% C
: D" ~9 c. F8 d3 \9 qHKEY_CLASSES_ROOT\WScript.Shell\, n; N# x& J$ `( I4 J
0 q1 `; I7 S) L' D+ Z
HKEY_CLASSES_ROOT\WScript.Shell.1\
$ |) ?7 q2 O' d' A改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
0 X8 `& o- t& P: j& s. |+ \自己以后调用的时候使用这个就可以正常调用此组件了
# `% S* }" {2 l+ [, w6 @. {4 t7 W  `9 m, Z- f* `( g5 w' s
2.也要将clsid值也改一下' z; e3 Q9 T) o% _$ O
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
  O3 p+ k) Z& N* I9 G4 J+ r5 J# SHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值9 v0 j. q' I" x$ t/ G) E0 S
也可以将其删除,来防止此类木马的危害。
, W0 {: I# O9 W, a' |1 |$ q

. j/ p$ O* V' o9 o( q( C, E: f三.使用Shell.Application组件- i0 @1 ?- S8 @* _+ d; A) h7 P
2 i+ P% {6 s- g
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
9 M- n$ J3 J. ?# f" aHKEY_CLASSES_ROOT\Shell.Application\
. l  ?% Z8 Z( X( [6 }% j6 @7 [) r( z4 e( p
HKEY_CLASSES_ROOT\Shell.Application.1\. U  O- l- p" \" z/ r
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName3 A) E: ?2 z1 R. ]: {$ W! g
自己以后调用的时候使用这个就可以正常调用此组件了5 D4 ]' S0 J3 S6 U5 m
2.也要将clsid值也改一下) Z+ {1 b; i0 U
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
% j3 }. A( i; RHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
3 p' k" u6 T' e1 W' W0 n+ D也可以将其删除,来防止此类木马的危害。8 }& m. M1 f, h
8 P- E2 R4 f1 m+ ]! C9 r0 p- u
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
( n5 `; q3 s' O6 gcacls C:\WINNT\system32\shell32.dll /e /d guests; n& s, H! H: v
' {9 O0 M  _& Y3 l
四.调用cmd.exe2 A8 B  r. Q7 _. w

0 S9 [$ p7 c' Q5 {/ B禁用Guests组用户调用cmd.exe命令:7 v$ O) D1 S. x" K& _; }) u
cacls C:\WINNT\system32\Cmd.exe /e /d guests5 c3 [5 G7 x1 ?* b8 w- r
: V9 v: u6 J* Q. j9 P* _' O$ u+ G* H

2 V0 a8 u, o1 n0 x% U五.其它危险组件处理:9 A9 _" W) B; O" [

! V% O) U6 s# A4 oAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) ! }5 t8 u/ C, Y: D
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74): H/ T6 l. m( x1 {% O) K7 y/ i
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
0 T# ?+ f6 R+ `# \$ ]$ J
- W: J8 D8 w6 \( ^

  _: p4 B6 Q$ ]* L5 _( ?2 O按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
' J0 k. ~/ J% T1 D8 k
6 w  q: L/ f6 B" C- pPS:有时间把图加上去,或者作个教程
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

我本机测试了下
3 k7 w9 s$ m$ S! H) G( C( j; k- q& H/ S3 b7 D
如果更改了相应的组件之后,ASP木马就完全打不开了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

有控发点图上来对比下
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

哦 学习了  知己知彼方能。。。。:)
10字节写啥

TOP

学习了……:D

TOP

发点图比较容易吸收。。:lol    不过这样也行。

TOP

谢谢楼主分享技术。。

TOP

返回列表