返回列表 发帖

[原创文章] 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
; r4 B& R( m" r' }' m4 Y
9 ]' I' V0 s7 K
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
" q2 C. o" e* N. F  R! C& m3 q0 Z1 p信息来源:3.A.S.T网络安全技术团队
$ R8 P1 B5 z; K% X防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
. x- n7 e, Y. f( h  G+ UFileSystemObject组件---对文件进行常规操作.
) P# Y  K- f) b( R. VWScript.Shell组件---可以调用系统内核运行DOS基本命令.
. C6 P8 b; c/ H; cShell.Application组件--可以调用系统内核运行DOS基本命令.
( @4 r$ |" `8 R* }0 L/ x$ m: P, y( P1 n  p( r( y
一.使用FileSystemObject组件3 o* [1 F$ w5 O( T) g7 `  V

+ ~" a: @1 o( e% G1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.1 a8 c$ c$ _8 i
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\% X0 ~. `+ F% Y! }
改名为其它的名字,如:改为FileSystemObject_3800( Q1 E! v) {; X$ M" e0 r
自己以后调用的时候使用这个就可以正常调用此组件了.
+ L+ I+ I0 B% M2.也要将clsid值也改一下
6 s: D3 z  A. I5 ]+ T' ]" Z; v# S' yHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值  g% y0 l) S% C6 C
可以将其删除,来防止此类木马的危害.
4 M6 |( ~, j, M& B0 N4 N* L( [3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
. }1 U$ k, V# B& l) z如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
/ o+ R1 \% N9 H& \  [( @9 r  F; T4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:" C" f: d4 R# y0 G0 \' ?  @
cacls C:\WINNT\system32\scrrun.dll /e /d guests
: M, q* a: b" `) d. o/ a
2 I: u. Z% Z0 E' I
5 @; U- p9 s8 R5 Y/ v' W
二.使用WScript.Shell组件+ C0 `) o' e3 X8 }' _

2 F, W& G5 C/ B& C1.可以通过修改注册表,将此组件改名,来防止此类木马的危害., h: d, f. G! v

1 K  p# {- o$ P8 \% cHKEY_CLASSES_ROOT\WScript.Shell\
$ a/ A6 ~' r3 P  m4 G0 u# X
' y5 d6 y2 u0 r9 N3 j8 C  C; R" `HKEY_CLASSES_ROOT\WScript.Shell.1\9 ~& C5 j; y- g" d3 k
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc# s: T! b9 p' w3 N2 L
自己以后调用的时候使用这个就可以正常调用此组件了
8 Q: a/ m. H  @$ M# L  ^/ A( ]! W6 C9 t
2.也要将clsid值也改一下
) v7 n6 Y/ |( b. wHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
4 N0 F+ q% C/ p* s- t" VHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值1 L3 D1 t+ |) |& [' N- ?0 X
也可以将其删除,来防止此类木马的危害。5 y3 V8 R4 Q5 l. K

1 _- f% j0 f5 h: W三.使用Shell.Application组件
& q3 R+ I$ R: E/ x3 M1 l; ~
  T/ [) ~. u2 h; R
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。7 u: R. z& v0 e; v3 b+ H
HKEY_CLASSES_ROOT\Shell.Application\' u. [) I! L" U# M

2 o3 v* U( u" r8 C- f0 c4 k- ~) E2 tHKEY_CLASSES_ROOT\Shell.Application.1\# r2 P  k" J  g" H: G0 \  L; E
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
0 s% f# f0 x% q* ~自己以后调用的时候使用这个就可以正常调用此组件了' ^6 v6 ^# z: l$ N* Z/ F9 W
2.也要将clsid值也改一下+ ]3 D8 ]8 l1 l$ b# g/ g
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值( d" M4 \+ h3 z, p) V
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值4 x: F4 ]9 f( |5 y: U
也可以将其删除,来防止此类木马的危害。1 T) A( x7 b% @3 U) {' k

  S3 S5 |0 R" x3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
8 Q" l( `$ q) m; _cacls C:\WINNT\system32\shell32.dll /e /d guests7 Z& j6 q* q" G* U5 g
! h3 e2 r  {" S- ]3 r
四.调用cmd.exe8 B  A& d5 [; |# }
5 Q: m& V6 X6 _% U! @
禁用Guests组用户调用cmd.exe命令:
( d  O& }# B! P: e# ~2 z2 f6 F' `cacls C:\WINNT\system32\Cmd.exe /e /d guests
8 F0 E- K" g) y8 D; q
. n' S! @( z7 M( a5 B
+ c5 n8 a' R7 g* A7 Y$ ~
五.其它危险组件处理:
. F) ^7 k2 @9 V1 d) n

6 y! e: ~, l2 dAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 2 u2 w/ J' B" c
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)/ m" [. w; j& X7 l5 x+ S
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
/ b0 {( d4 h! R! H; F

$ ]9 M$ g( d2 l2 m+ p) K/ ~' M. L) f5 y, L1 T5 b/ F, K3 ]/ a1 j$ w
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
# i* |/ [% w! S# T6 {" C5 X( u8 x3 H. T2 {- ]$ c
PS:有时间把图加上去,或者作个教程
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

我本机测试了下
2 S: q3 K" G% \
3 d# B: q$ o( _" r0 I3 |如果更改了相应的组件之后,ASP木马就完全打不开了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

有控发点图上来对比下
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

哦 学习了  知己知彼方能。。。。:)
10字节写啥

TOP

学习了……:D

TOP

发点图比较容易吸收。。:lol    不过这样也行。

TOP

谢谢楼主分享技术。。

TOP

返回列表