【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [原创文章] 服务器如何防范ASP木马进一步的侵蚀 [打印本页]

作者: 柔肠寸断 时间: 2008-11-3 21:38 标题: 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

' t! s" R! ~* z ^5 v
3 A3 K, i/ ?& Y: i% D
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队+ d, y* ]4 E5 g# R- l* ~. F
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作./ j: Y9 R) y* b% z) Q3 Z8 l& Z
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.# T: L4 ^7 E! O; [+ |

一.使用FileSystemObject组件/ `# f$ l% N% y4 j4 D+ |

0 I: W6 @; ?2 w! V: l" ~$ F$ u8 z1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
4 c* ^( |  M* s! h7 W9 W4 F* a0 R2 oHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
4 K- c  ], T$ Y6 R  Y+ B改名为其它的名字，如：改为FileSystemObject_3800
& m; S2 l# \! Z! X自己以后调用的时候使用这个就可以正常调用此组件了.
' u. b4 P0 u, w7 w, B9 i2.也要将clsid值也改一下$ N) g" E% X3 E3 x
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值# P9 [5 ?1 u; s
可以将其删除，来防止此类木马的危害.5 X6 Y4 S: v. G# A9 M% A( Q8 V/ S
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
9 m* P4 _# N! q! q; @! @如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件9 H! n" }  {. `3 n7 T2 K
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:" z5 O1 S9 q* }2 A- q; `- M6 r, X! _
cacls C:\WINNT\system32\scrrun.dll /e /d guests
- J+ M% e+ V; r! v! x$ V$ n+ @

二.使用WScript.Shell组件

  B2 {! F  n" e) }* [7 J% p
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.4 N1 {( a: G5 W+ {" a+ i! m; k: ]* N
9 c- f0 d- U+ Q  V5 Y
HKEY_CLASSES_ROOT\WScript.Shell\
% u4 s+ I9 {, Q3 q及3 f. G" u7 t$ i: f$ V. \& C+ Y, S4 \
HKEY_CLASSES_ROOT\WScript.Shell.1\
$ X( C/ _. W2 |+ V% k, `) i+ J改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc( y9 d$ w% N5 j1 }' [9 R: t$ G
自己以后调用的时候使用这个就可以正常调用此组件了
! m/ T0 Y% E6 J  e2 Z# e# R, L$ u
, ~4 r3 U; E- W' M2.也要将clsid值也改一下
* `* u1 u0 n8 pHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值7 z# h2 t# p  N7 X7 O. N
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值7 J% n4 |0 m7 e8 A' s; p) s
也可以将其删除，来防止此类木马的危害。! D% L" G( r& `; _7 R. r9 C

三.使用Shell.Application组件 S F/ e0 H9 T/ r! R' J! y

$ _" n, Z( S- m8 r: l: e
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。$ l2 \8 U! W7 i2 i) e' |& x
HKEY_CLASSES_ROOT\Shell.Application\
+ L& ^, p+ Y2 t5 j$ _, G及
% t7 l" w% g1 p" h, ~' LHKEY_CLASSES_ROOT\Shell.Application.1\; E" W) T2 V* u W& d
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
9 @* q- ~* s+ j自己以后调用的时候使用这个就可以正常调用此组件了
8 T, n+ i/ _1 ~4 U1 C2.也要将clsid值也改一下
9 |$ z, `4 Q! o5 M' e) h& T! }% NHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
8 C8 G# o' [) JHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值7 |! u! Q6 o K8 ] ]
也可以将其删除，来防止此类木马的危害。
8 P3 T( s7 |" q7 N% n! H
- P) `9 n& ?3 F1 g3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
7 y; e9 d1 K4 I5 ?! L# tcacls C:\WINNT\system32\shell32.dll /e /d guests2 X3 G3 h% x5 k

四.调用cmd.exe

5 K/ e9 R( m9 I, p" i禁用Guests组用户调用cmd.exe命令:3 | q! M& |$ U2 u$ G
cacls C:\WINNT\system32\Cmd.exe /e /d guests
2 i+ Z7 D$ ?6 G9 F0 V/ K: e5 a: y

五.其它危险组件处理:" A) h" r+ x! T7 n! d! N

) @7 q! p7 D: s+ o \" NAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) # U6 h5 }* f, ^: g1 l' m; a
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74), _7 Y5 R; t4 p; x, n. W
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
& J: w1 U3 Z* h2 c P) `: p6 C

( r3 I$ t5 Y; g1 x* @' c/ _0 N' ^

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.' N3 d0 @, h& D5 l; |3 {

PS:有时间把图加上去，或者作个教程

作者: saitojie 时间: 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

作者: 柔肠寸断 时间: 2008-11-3 22:08

我本机测试了下

如果更改了相应的组件之后，ASP木马就完全打不开了

作者: saitojie 时间: 2008-11-3 22:10

有控发点图上来对比下

作者: 猪猪 时间: 2008-11-4 08:39

哦学习了知己知彼方能。。。。:)

作者: paomo86 时间: 2008-11-4 11:26

学习了……:D

作者: 小雄 时间: 2008-12-9 20:31

发点图比较容易吸收。。:lol 不过这样也行。

作者: 在意z 时间: 2012-5-16 00:23

谢谢楼主分享技术。。

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com./)