返回列表 发帖

[原创文章] 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
1 ]0 W6 a% n* j" K: ~' j

8 C  B; w) g3 i9 @0 I原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)* d) B1 d, T( N
信息来源:3.A.S.T网络安全技术团队
* q. q( S7 A" Q1 Y& u防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.. I9 ?& c( F3 [/ k3 m4 G
FileSystemObject组件---对文件进行常规操作.6 K0 ?. `8 V% h( J8 z1 X4 E0 A+ s2 n
WScript.Shell组件---可以调用系统内核运行DOS基本命令.9 Y0 V  z  e0 r  a6 ~! L
Shell.Application组件--可以调用系统内核运行DOS基本命令.2 J2 U% F: |6 d: D4 P, o
; C+ R* ~  U- P
一.使用FileSystemObject组件# b$ e) f# ~0 w" B

7 g) S9 w% m2 M  t; y' @+ w1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.( `. v$ H1 m7 V. `  }
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\& S* Q5 K  i! B, T# @# i
改名为其它的名字,如:改为FileSystemObject_3800. s" i+ M7 G5 A2 A, d) J
自己以后调用的时候使用这个就可以正常调用此组件了.2 u- r, t* {% u
2.也要将clsid值也改一下0 X$ [* r. g5 g; n! Z$ g7 b
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
$ ^: {0 K: b; z可以将其删除,来防止此类木马的危害.1 t$ R( o: L; j( Y& a5 \
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
* C/ e% n  h# s2 }* x* Q) R9 @. S如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
# o. p( `" v$ s+ K4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:0 W$ {& z1 A5 Q& B
cacls C:\WINNT\system32\scrrun.dll /e /d guests
, \3 s& A1 M" z
& z, H3 j7 ]/ v/ t. [$ N

& T0 g2 V9 P5 c二.使用WScript.Shell组件' ?% D5 T7 y7 \% f5 j

, y6 P* ?2 z; w2 ?& N& |1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.  l  l9 d7 Z! O, B3 K
# r$ E( ^9 j  h* r
HKEY_CLASSES_ROOT\WScript.Shell\  o8 N/ ~0 L4 f2 y
5 ~4 u- G/ f7 ]  J8 G
HKEY_CLASSES_ROOT\WScript.Shell.1\6 P% k8 d, p9 n% v
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
: F4 y6 F& [( u) z/ A自己以后调用的时候使用这个就可以正常调用此组件了0 G# Y0 ?0 j# o% Y* M# G
" e9 w' j! t' o) @6 R
2.也要将clsid值也改一下
$ V+ }" n/ _) Q$ a0 t1 g% IHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值  l1 W) i3 s5 {5 m3 C
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值6 w( j" y' h# z; M
也可以将其删除,来防止此类木马的危害。
0 w% G+ [1 Z4 a& p, g" I9 B2 [
/ {/ `# Y3 ?) F; p1 _$ Z+ T  m
三.使用Shell.Application组件
5 O) x6 A0 y: l2 i& F* d9 `

( R: j8 Y! _6 x: h- |1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
9 Z6 @6 Y3 t) G. j/ J3 l# C1 gHKEY_CLASSES_ROOT\Shell.Application\8 a& l  C3 H& @& n

5 r& J; p8 }  l% R, v- v" n% RHKEY_CLASSES_ROOT\Shell.Application.1\
+ N7 Z, H+ T4 x4 Y1 `5 Q2 `改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName' J4 C  G! `% y% A6 H
自己以后调用的时候使用这个就可以正常调用此组件了$ F8 @% |1 @( ~9 `4 `' j% g: N
2.也要将clsid值也改一下: Y/ _7 c* j! W. a* e5 C
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
( M' B5 Y( A: W% Q3 MHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值! m' W- Y! l: y- M
也可以将其删除,来防止此类木马的危害。& G4 _5 o, @4 `7 h5 C/ `

  ~- n! e' o% |9 s3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
$ U" K; I7 P- l5 H: j+ L+ t' f2 ~cacls C:\WINNT\system32\shell32.dll /e /d guests7 ?. J% J1 T& Q, Y: t8 m
5 z% k# K) f; d% E. m& d: K" t. U
四.调用cmd.exe
: H5 g! C$ B: X% b+ u, o

1 B! {$ z5 L( o禁用Guests组用户调用cmd.exe命令:
, x1 }# L) D( S! v( }: n1 jcacls C:\WINNT\system32\Cmd.exe /e /d guests
/ C( ~, r& D: d1 m- A3 A
& L% L3 x' R* y: H- i8 G
( k+ [# p1 z4 i0 h
五.其它危险组件处理:
& x9 N4 U7 x& C# ~- a: U

/ {: ^+ l$ ^$ e* V& Y8 BAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) # y6 \1 f: R  Y, w, k
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)# W+ p' p6 J& T* D6 z1 ~
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74): V7 e# m9 y% }- v" d
3 X, K/ }2 f) g0 I7 I# _6 `8 a

) P- n6 O7 V, }6 u8 U2 k3 {按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.; f) r5 k/ v& a% |

& P, v  |/ N2 g4 A, X3 nPS:有时间把图加上去,或者作个教程
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

我本机测试了下
* ^# a) |8 a: H  _$ e8 H/ B# w3 F* {. _7 W8 @& J
如果更改了相应的组件之后,ASP木马就完全打不开了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

有控发点图上来对比下
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

哦 学习了  知己知彼方能。。。。:)
10字节写啥

TOP

学习了……:D

TOP

发点图比较容易吸收。。:lol    不过这样也行。

TOP

谢谢楼主分享技术。。

TOP

返回列表