|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
/ s2 x1 k P; Y9 z- z" }7 Y( O原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
) T6 A( o7 S/ ~7 ~$ s$ M信息来源:3.A.S.T网络安全技术团队- i/ x2 H. m& r
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.0 j, c( j- c9 V! f( p" q
FileSystemObject组件---对文件进行常规操作. Y6 r+ p8 H; t4 y# _( q
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
2 \% P) B$ P4 a8 P" m& hShell.Application组件--可以调用系统内核运行DOS基本命令.3 ^' ^, i9 ^6 P
0 S0 v) O+ e0 `3 A' i; R一.使用FileSystemObject组件* r1 P' p, i0 N% E; N+ o8 f
* j& } P! ]; D
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.6 o0 c! n- S& A, f) c
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
/ p! }9 j9 T3 K/ ]; U/ H f改名为其它的名字,如:改为FileSystemObject_3800
7 {* ^. ^' L |) T自己以后调用的时候使用这个就可以正常调用此组件了.
6 W" o) r' v- _3 v' x2.也要将clsid值也改一下
3 O5 m2 Q: [, I9 [0 S3 T, tHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值9 x' M" i5 Y4 B! ^, m2 \' W: \
可以将其删除,来防止此类木马的危害.
6 e* C$ f* x% W7 N5 n3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll ! A( B# ?! m! u8 N( N& ^- D
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
# s! S" p/ b: {* _6 |. u# B' l4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:; d( I! m8 A% O
cacls C:\WINNT\system32\scrrun.dll /e /d guests
4 w" ~, I0 L* I0 o+ @+ t/ p: B! O9 S
" a% ]. g6 e! \, a' B二.使用WScript.Shell组件
4 m* c) Y; b7 J
% S* ], s, `; }, { _: v1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
( G4 U( d' ~$ _
1 Q \/ V5 x( O0 A/ v+ r- l' p+ |# RHKEY_CLASSES_ROOT\WScript.Shell\
7 p4 J' N" a* e# z2 q1 l及
& n7 \" `7 P! X* ^& NHKEY_CLASSES_ROOT\WScript.Shell.1\* z4 b. n% v- y0 g: m
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
4 I6 H7 U' V9 _, i* g$ Z1 @& \自己以后调用的时候使用这个就可以正常调用此组件了% Q5 H. Q, n3 c1 z
2 P* V* a$ T+ }( Y7 }/ E
2.也要将clsid值也改一下) o3 D( q3 [5 }* v Q& r
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
4 z/ S, m3 J& MHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
1 [! Y0 I9 t( Q+ _+ J也可以将其删除,来防止此类木马的危害。
& v$ C a, F' R- c
; a. V+ A) k3 o三.使用Shell.Application组件
& p0 [3 ^! y2 b h% E1 Y' a o
: \% X6 u6 [4 r# X$ J3 j+ D1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。! w1 s. m) m7 K! u3 K+ G
HKEY_CLASSES_ROOT\Shell.Application\% V6 Q' b) p9 S, u% p
及3 S4 @& K9 s- R& r+ ?' Z
HKEY_CLASSES_ROOT\Shell.Application.1\. N2 H# d9 }, \. ?$ I; ^6 g6 R
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
4 R( \& y+ s" o$ L" }自己以后调用的时候使用这个就可以正常调用此组件了
5 ?. m9 P r3 ~: J2.也要将clsid值也改一下
# r0 w% U7 m6 rHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
9 t) {( a8 X" ^* c+ V- kHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值, U: d0 p1 |5 R8 V, f( K$ Z8 r
也可以将其删除,来防止此类木马的危害。
?3 t$ h+ K) d7 c2 C# {" [
: }8 W. ]- m6 W, a' I4 t' O6 ^3.禁止Guest用户使用shell32.dll来防止调用此组件命令:+ h' B$ o0 m( V4 O$ v
cacls C:\WINNT\system32\shell32.dll /e /d guests$ h& X0 i Q- ?+ p" P" ?: z3 v
四.调用cmd.exe' _6 H0 u$ d4 U R5 K
: u' V1 R) I) J5 C! x
禁用Guests组用户调用cmd.exe命令:$ M) P& K$ \2 }5 I8 J4 B2 h
cacls C:\WINNT\system32\Cmd.exe /e /d guests
5 ^1 ]/ q: T$ m1 R! g
7 L; i( a" `" B' Q7 D+ s4 m9 d1 S
5 C$ B% }: l0 w) D/ V: P* M五.其它危险组件处理:
5 B# r9 a, _7 v: k' C / L7 d# \$ `! b$ a1 M* m
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
b, L* r4 \/ qWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74). b+ c# _1 @0 o: t d6 A# |
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)6 h. q8 M8 P5 f3 w1 r
8 v5 y1 s9 L) X) p' k6 L0 V$ [6 x t, w9 b6 Y. q- f2 k; P3 v+ U$ C
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些. }/ x% B7 k3 O( j
8 l; D8 k0 j6 c7 O8 OPS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2012-5-16 00:23
| 
发表于 2008-11-3 22:10
| 