|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
$ |1 s* k8 C( w2 r! |2 }! F/ t1 k
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
7 n- Z5 O5 t4 B1 i! G& X9 k信息来源:3.A.S.T网络安全技术团队1 h" I4 K0 C) D
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.* F& n9 W' ^$ ]* ^' y
FileSystemObject组件---对文件进行常规操作.
4 w% r; J, @- ], s% x+ K- iWScript.Shell组件---可以调用系统内核运行DOS基本命令.5 s/ u6 o' F: d: Z2 y
Shell.Application组件--可以调用系统内核运行DOS基本命令.
3 c' E- [( i4 t+ x/ J% n/ C# T( J0 n1 v
一.使用FileSystemObject组件
, S# F. [( H; A
( |* t# e4 e( p' a% A1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
% Y# Z0 {! c* S* X$ Q& NHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
% |# B) Q4 d2 {改名为其它的名字,如:改为FileSystemObject_3800, P4 |5 H7 r8 v, c$ W
自己以后调用的时候使用这个就可以正常调用此组件了.' P9 R0 X1 V( I' ?
2.也要将clsid值也改一下
2 P$ O/ X4 Q& X& v. }HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
/ w8 `- l) r* y' u/ |# |' J- q可以将其删除,来防止此类木马的危害.
, R+ M4 e5 O" I$ K4 D3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
6 p8 ^+ i4 t H' D* m: p如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件, Z) D; A: _: ]5 d5 y
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:1 ]% |. ?# [0 ? f4 i& e$ q) H8 m
cacls C:\WINNT\system32\scrrun.dll /e /d guests
. Y; e$ @7 Q/ j+ \* q5 n! |
8 u8 w6 n* A9 g6 n. Q
- y2 p8 w9 t a! x# L3 h二.使用WScript.Shell组件: P/ }5 x. I' d# [ h T( C
* x6 G5 G+ _2 S0 o* _9 F6 Q1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.. Z* t+ J! @3 z( q! \8 l& [' \/ t+ M
. S6 e: V5 D. p& v% ]% N3 ^" l
HKEY_CLASSES_ROOT\WScript.Shell\- O( ?( t _6 S
及2 D9 U8 t; E# M
HKEY_CLASSES_ROOT\WScript.Shell.1\1 M0 w0 g2 @8 u# l* i
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
# M" M+ _( K( B! \7 R! B$ O! {1 _自己以后调用的时候使用这个就可以正常调用此组件了9 |: s, X, M9 |
, D8 K1 ^ }5 G+ }% ^
2.也要将clsid值也改一下! A) n6 v$ W: @3 [; Y
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
$ W m% s- h5 G" G: S0 N8 p. ?' S4 K) KHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值 B, I; `9 u) T5 h. n* D) a
也可以将其删除,来防止此类木马的危害。0 E- s) C2 R1 h/ q' I0 d
三.使用Shell.Application组件3 U) K2 d4 E# M Y5 ]
; T1 j- U' q+ N+ |1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
3 |) l2 [0 j5 O' ?- DHKEY_CLASSES_ROOT\Shell.Application\
6 }# x' Q$ u$ P8 {: \0 \1 y及
; s/ V: U" G- o m6 Y( b! kHKEY_CLASSES_ROOT\Shell.Application.1\! z! f8 K. c. U5 t9 a' @9 `, I
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
# B7 m! w/ }' j# d* S自己以后调用的时候使用这个就可以正常调用此组件了- [. t& J( Q1 z
2.也要将clsid值也改一下8 c2 b8 E$ h5 v# Q* G. Z
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
7 k Q+ g" G6 ~# x# t3 WHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
: ] _% u0 d# A& f也可以将其删除,来防止此类木马的危害。4 q8 A! ?( c4 |5 c
9 a: _" _" s$ Z5 F+ U
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:, f2 D. \7 v; P9 ^
cacls C:\WINNT\system32\shell32.dll /e /d guests1 I" p* n: L+ z0 V/ H( {' B9 `- f, c
四.调用cmd.exe2 R+ d, e& ]# a/ S
" B# P( I; v" }0 m8 J0 Z
禁用Guests组用户调用cmd.exe命令:0 u$ f' |0 v- {
cacls C:\WINNT\system32\Cmd.exe /e /d guests
6 ^, \" Y5 s0 Y w
% i" j9 M8 j5 F6 i2 \+ D- h: W, u% Y& v4 @2 k
五.其它危险组件处理:
2 Z' B5 A- M9 h: k$ V , ?7 V: a* C3 w4 O7 s
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
) _* n4 |4 T8 n3 `WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
& N( j( V1 y' r: Q: X. o7 ^WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
- v) ] k$ K0 @8 u, e8 E4 ^
: i. B) i W8 _: `( H) |! t. H9 u6 `+ T1 b4 x& u1 U1 L0 e5 `
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.7 p& X1 b7 I8 C
: L1 v, X" q; hPS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 