Board logo

标题: [原创文章] 服务器如何防范ASP木马进一步的侵蚀 [打印本页]

作者: 柔肠寸断    时间: 2008-11-3 21:38     标题: 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看

( P6 q2 x( v) o1 C: r2 E/ S: @- A! F$ s5 h  |
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
- P+ z) B% z9 E& L, m信息来源:3.A.S.T网络安全技术团队
# p" r: @  \' B* [' y$ ]( r6 N防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.0 w0 {4 P; ^8 E5 G9 R
FileSystemObject组件---对文件进行常规操作.. y5 h: i6 B3 O4 Z; n8 a: n* `$ N/ x
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
) c7 J4 X& t6 d8 EShell.Application组件--可以调用系统内核运行DOS基本命令.4 Q" Q# a3 ^  Z( p, [; X7 c2 Z
8 u8 d9 I% i' ], U6 t& g  o
一.使用FileSystemObject组件- T$ c7 V% u' A, v: S0 O+ U! `0 O) x) O
; s8 ?! K, p) `+ U
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.2 B; L( u) p+ G3 S8 I0 P
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\# s, e7 [1 q" {7 x1 Q
改名为其它的名字,如:改为FileSystemObject_3800
# A0 E: z- ~* L自己以后调用的时候使用这个就可以正常调用此组件了.
; x9 Q- D* o& w' D1 T2.也要将clsid值也改一下8 n+ C6 ^3 V: D0 u2 a
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
7 W. |) \7 D! B+ G0 k可以将其删除,来防止此类木马的危害.
, L  u  D  p4 s. |* v% j3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
8 f5 _2 }4 L$ A( w8 G7 @( c& o. M如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
5 }. a: a/ b* E4 ?3 ]4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:* ]% ~) J& Y- x- e4 i
cacls C:\WINNT\system32\scrrun.dll /e /d guests
" u: O/ \0 m) l
& g. z2 n9 e2 w6 V
% h. s% y) Y6 X. a) P6 O0 N" @
二.使用WScript.Shell组件
2 y' Q& ]- o! [7 b7 O4 E3 `$ p, e
% P- v! L. U; R9 B$ u
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.  P9 Y& k$ r$ L: z- y
: h" L. [& p3 M. {
HKEY_CLASSES_ROOT\WScript.Shell\3 }. t; h" d7 n  g4 L8 G

! {, U( u9 S2 I. o, e1 ?& l+ S3 GHKEY_CLASSES_ROOT\WScript.Shell.1\
' w, Q+ b1 C: C8 B: z% A) t改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
) y& R: U. `& e8 Z自己以后调用的时候使用这个就可以正常调用此组件了3 U$ F6 G1 L% ?! v: k4 @( d* q
1 \- j0 D( L$ X5 ~  ?" v
2.也要将clsid值也改一下. v  N( l( o9 ~, A* b# @; m6 v
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
+ B. F* E& I" T0 v  p$ {HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
5 s* d7 E9 [: n& C也可以将其删除,来防止此类木马的危害。) p5 B0 ~; y% k1 S9 J8 E9 D5 V8 z
- Z4 k% m8 f& N  E4 Z
三.使用Shell.Application组件
* ?' y  j' S' ~" {2 b
8 M& [% ]" t/ v3 Q" ^- i
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
1 T* n9 g& _8 @2 b  r# QHKEY_CLASSES_ROOT\Shell.Application\
) c/ E9 N. F0 O, U4 d% G" K" r; O& T9 T2 [( g
HKEY_CLASSES_ROOT\Shell.Application.1\
, h3 Y0 M5 C5 r# e改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName* G; t4 A0 x1 a' ]6 {/ G
自己以后调用的时候使用这个就可以正常调用此组件了" i, D" O2 Y6 `3 Y3 ?6 Q, `
2.也要将clsid值也改一下" b! @# Q6 G5 n/ t$ \1 d
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
4 p7 `8 u* R5 V+ R/ d3 yHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
& [  m) [' X0 q4 H1 |  R  f也可以将其删除,来防止此类木马的危害。
$ N+ E" t# V9 _' q+ F
! d3 L8 R  ~9 P" v/ t; o. H  B3.禁止Guest用户使用shell32.dll来防止调用此组件命令:+ A! X( m* i0 m* \2 U
cacls C:\WINNT\system32\shell32.dll /e /d guests% a1 W" t0 [% V9 J' \
4 s% y- T- T. }1 c$ r# u
四.调用cmd.exe
7 _5 s- [: S2 D" ~8 ~

, c4 L* G3 ^& `0 F禁用Guests组用户调用cmd.exe命令:( q: H9 e- F) ~. N0 ?- J" l3 @
cacls C:\WINNT\system32\Cmd.exe /e /d guests) g* B% G2 p4 h+ n' x

* ]  W! i0 q0 }$ ]/ o) h1 [7 }) M' A) K9 p; D
五.其它危险组件处理:, j# i2 M- f7 t3 ]9 W/ K4 r; h" x

/ q& r5 }+ E  j# Y# J) A- @Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 7 h4 K& f1 R/ J0 N  V) k
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
6 F6 J* U4 |/ V) Y1 {WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)# _3 v" m1 A- B# n& h
) ]$ _1 V5 t( Y% T

' H% }+ I' r' j8 a) ?按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.+ A: j& _; s( N$ Y  C$ l' K

, J) {! p' F0 r2 [9 q. SPS:有时间把图加上去,或者作个教程
作者: saitojie    时间: 2008-11-3 21:43

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
作者: 柔肠寸断    时间: 2008-11-3 22:08

我本机测试了下( d- G+ o( O* E: N; j( u. X
: s& ^" i8 z/ j! G0 X+ Q2 L) U
如果更改了相应的组件之后,ASP木马就完全打不开了
作者: saitojie    时间: 2008-11-3 22:10

有控发点图上来对比下
作者: 猪猪    时间: 2008-11-4 08:39

哦 学习了  知己知彼方能。。。。:)
作者: paomo86    时间: 2008-11-4 11:26

学习了……:D
作者: 小雄    时间: 2008-12-9 20:31

发点图比较容易吸收。。:lol    不过这样也行。
作者: 在意z    时间: 2012-5-16 00:23

谢谢楼主分享技术。。




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2