【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [原创文章] 服务器如何防范ASP木马进一步的侵蚀 [打印本页]

作者: 柔肠寸断 时间: 2008-11-3 21:38 标题: 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

% i) m* P) V0 Y9 w
- |' k4 b+ c" f& k5 t
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)/ @* Y; ]0 I2 e5 M$ m
信息来源：3.A.S.T网络安全技术团队& f# L- a. g) ^$ y
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.9 a* U6 x1 O( ~5 E$ [- t7 q3 L
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.$ F% A; x# N0 w
: u0 _: W+ l7 E* h6 V- V9 `
一.使用FileSystemObject组件+ V/ i1 _' }: F4 w5 M

2 n- G) ?$ H% T1 L: P7 C' }
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
) ?6 I7 \$ H& c- g9 d, ?& XHKEY_CLASSES_ROOT\Scripting.FileSystemObject\7 V' [! s' s1 i/ b, v- A
改名为其它的名字，如：改为FileSystemObject_3800
: z9 A0 ]" q6 r: ], A自己以后调用的时候使用这个就可以正常调用此组件了.
4 \. c& L8 n4 V$ I" W2.也要将clsid值也改一下) R6 |2 v5 Q: [+ k3 |' a4 L8 c) z
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
! O* o# x6 K6 E% N: L5 v8 N% Q3 L可以将其删除，来防止此类木马的危害.
; x5 J, z( \# Z$ a ]. X3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll . @$ p1 G3 I$ J: k! _7 }. B
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
$ A& ?7 f/ X7 N, o# z$ {+ p4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:/ t, i1 ]0 R. y" I. P
cacls C:\WINNT\system32\scrrun.dll /e /d guests
# _4 y2 F3 b' t* K9 D0 a

5 q7 z- Q, A* A# E1 I8 D9 E
6 P) L7 O5 u ?
二.使用WScript.Shell组件

% x6 N2 O! R' P" w" S9 e1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.0 j+ h5 E2 s4 H6 Q6 d/ G
" _/ Y% ]& v" P% U& ?2 \
HKEY_CLASSES_ROOT\WScript.Shell\; V! j% F0 {# P3 `- W
及
4 d, I1 R, _3 D3 |/ h( L$ |/ [5 K% Y' qHKEY_CLASSES_ROOT\WScript.Shell.1\* n' W' g; d; ]5 u& z& \# o' P
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
( W/ _4 e4 z( ~3 j% J( E自己以后调用的时候使用这个就可以正常调用此组件了, `" c% m4 Y% ^7 p

& l/ N) ? t. b4 K# y2.也要将clsid值也改一下' d& Q- u- E& Y, G' b: i8 e
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值+ C) ~3 U' M- R( y% ^0 @
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值: [( w3 ~ }2 b, s" h
也可以将其删除，来防止此类木马的危害。& k$ h% T! t3 q" C! r

7 [) d* }& c# ~
三.使用Shell.Application组件

7 F4 Y1 }" ^# o7 ^0 C4 p* G. R6 P
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。- }# C1 R, b/ j8 U) T* O4 W7 E7 a
HKEY_CLASSES_ROOT\Shell.Application\! n% _9 U+ U% a2 ~6 U6 T
及4 d) g5 m& o0 |7 U7 Y" c+ F* r
HKEY_CLASSES_ROOT\Shell.Application.1\
# I* A" f* ~" j$ R3 K, I改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName) |; @$ K6 C8 X
自己以后调用的时候使用这个就可以正常调用此组件了
$ e, b" S. Q# S& o, o; C/ k, F/ f' M2.也要将clsid值也改一下
5 a4 i7 m! c E) \8 x% @; qHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
% p: x8 D! i) D+ {9 q! U- WHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
' \. P) d0 j( t& S8 F0 E也可以将其删除，来防止此类木马的危害。) N: ]3 W3 ^* E8 B( _

3 c' W3 M% B3 u2 b- P# L8 T3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
2 n% l! F- _! `+ Ocacls C:\WINNT\system32\shell32.dll /e /d guests
) ^! m' g3 W7 M6 S" n0 G- z

- u0 p! {8 k( n. P* V; \0 G
四.调用cmd.exe9 e& M+ ^# d, W" d$ {6 I6 @2 F5 P' ]

; d7 n+ h# l  L, P, q4 V
禁用Guests组用户调用cmd.exe命令:, U, X- r  M! M8 ]- C
cacls C:\WINNT\system32\Cmd.exe /e /d guests
. t0 v6 O  R; t& U2 ?

' v/ q. ]) t1 c7 }/ O# H: A: @
: Z4 `. x6 e" l8 n t( T d/ }0 V
五.其它危险组件处理:) ]) r9 M1 }) z2 h7 F# v( R, Y; j

1 z+ n2 k5 d4 C! Z V6 m. P8 F
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
6 p, S! X: ~. |' x% r) E1 oWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
" V$ o. N% ]& r) Q- l& @9 d0 f; `WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)& {) q- N( K4 C6 J d' G

# W7 L3 b2 M: S. E) a4 e+ R

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.1 m4 N6 M! x4 N: Y/ _; a0 q
$ a+ |! X" I- L! O
PS:有时间把图加上去，或者作个教程

作者: saitojie 时间: 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

作者: 柔肠寸断 时间: 2008-11-3 22:08

我本机测试了下
7 N; Y Z; e( O& w% c$ @% |* s
如果更改了相应的组件之后，ASP木马就完全打不开了

作者: saitojie 时间: 2008-11-3 22:10

有控发点图上来对比下

作者: 猪猪 时间: 2008-11-4 08:39

哦学习了知己知彼方能。。。。:)

作者: paomo86 时间: 2008-11-4 11:26

学习了……:D

作者: 小雄 时间: 2008-12-9 20:31

发点图比较容易吸收。。:lol 不过这样也行。

作者: 在意z 时间: 2012-5-16 00:23

谢谢楼主分享技术。。

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com./)