返回列表 发帖

[原创文章] 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看

+ c9 ^$ f! b9 V% W0 l) w+ r- F& J, r  x" D  N
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)* `# |7 Q1 s. j$ K
信息来源:3.A.S.T网络安全技术团队
+ q3 f7 a' K# _6 s! h. a* v3 \防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.: E) G  a, I- Z6 C( s
FileSystemObject组件---对文件进行常规操作.7 L8 M& f6 w( \
WScript.Shell组件---可以调用系统内核运行DOS基本命令., ]2 i' {7 `: n+ \6 s, g. i
Shell.Application组件--可以调用系统内核运行DOS基本命令.
* y# A8 A# o8 Z( ~7 Q* ?9 l: y* ?: ]4 V& o
一.使用FileSystemObject组件2 X$ D- U8 R& t1 Y
; H0 ]+ y9 J0 p* i( v6 G( T
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
! ]0 v( U" v  Y% V  Y4 r% lHKEY_CLASSES_ROOT\Scripting.FileSystemObject\. L! y3 Z% A, Q; E% X. |' H
改名为其它的名字,如:改为FileSystemObject_38006 f; _8 @4 A! [# m4 `
自己以后调用的时候使用这个就可以正常调用此组件了.
8 h0 @; _4 {  N" r5 h2.也要将clsid值也改一下
/ q2 \" d$ O* a9 R! l: ]& u/ F* OHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
7 o: @% @: [6 o3 ?5 Z可以将其删除,来防止此类木马的危害.! Z/ P& a5 B+ D3 H) E% i/ \6 c) L+ N
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  # d0 L+ H& |7 @! Z/ o' J/ Y
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件3 l- ~3 }6 D0 F. B8 ^0 I
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
% \- N: M2 ?5 y! \6 ecacls C:\WINNT\system32\scrrun.dll /e /d guests
7 R  I1 C  N0 {, @

$ e6 _) N2 h; ^/ `# Z
( o5 ]# g' B% Z* H7 r; h3 X' T二.使用WScript.Shell组件; E; T2 v( N0 x2 w5 z1 F# E  F
3 {5 o: v  b( ~: o
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.# x) C4 b" ?4 V1 B9 d( D
* [- T7 f2 V, w3 [! x0 \) f  O
HKEY_CLASSES_ROOT\WScript.Shell\4 U; Z) x$ l* Y4 x7 y+ O

0 w6 E3 O! F+ N; ?9 S$ m  V7 UHKEY_CLASSES_ROOT\WScript.Shell.1\
; _! n" M7 h* Y5 P' J3 {改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc; |2 G. l& U/ e' f; [9 Y
自己以后调用的时候使用这个就可以正常调用此组件了
/ c6 y# Q  h) u* T1 g" w+ v9 S) I/ D' s! y- p
2.也要将clsid值也改一下
) ^- p* m( M. W  X6 t2 h3 }HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
4 N! }) W" u0 `& z  C9 s, E' zHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值. a* ~, s- H; p# G) \
也可以将其删除,来防止此类木马的危害。: y( P) s4 G9 z" U2 x% o
1 c( v; Q+ o) o/ M* x- N% ~5 [  @
三.使用Shell.Application组件
8 G! W8 N, S; h. I8 V

+ Y) M; Z- c& [8 o1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。; b  v' Z4 J3 Y" u/ Q
HKEY_CLASSES_ROOT\Shell.Application\
! D; j% f3 [( Z/ l; T
. Z( y, G7 A$ P, q) t/ HHKEY_CLASSES_ROOT\Shell.Application.1\
$ y) b  o. U% B% k6 M' G改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName9 g0 ~! {. O5 m8 Q  f
自己以后调用的时候使用这个就可以正常调用此组件了7 g8 Z. E+ @7 |
2.也要将clsid值也改一下% ]# R) c* G0 B- w( L$ I" p
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
! R8 I: q# K+ `8 u7 [' a* y7 EHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值  f6 R0 V+ o/ A" l! [! `
也可以将其删除,来防止此类木马的危害。
# |. m/ _9 A2 P5 x. h
* k: \6 C) l& C1 H7 M3.禁止Guest用户使用shell32.dll来防止调用此组件命令:+ j, k- C, _) g
cacls C:\WINNT\system32\shell32.dll /e /d guests
3 ?. D) K5 @! u; m7 y% `8 A) D
. ]7 U9 R$ P3 ~( D& C3 N% Y
四.调用cmd.exe  n7 @4 x1 s6 {2 x6 j: t+ M. X

- y) {6 g. w2 E% X, P5 K禁用Guests组用户调用cmd.exe命令:0 j/ b7 O; H3 [' x. o1 E
cacls C:\WINNT\system32\Cmd.exe /e /d guests
7 H+ d2 C3 \' V' \$ N3 Q

  {8 `# u" `4 ?, j0 R6 B# I$ Z/ r3 l
五.其它危险组件处理:
4 o* p# J! _/ Z  }- y& |+ f" ^$ K

6 f' k/ h* P$ |6 M( pAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
: E6 i" I+ |/ Y* R% bWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
" ?; ?  ~5 k) n% W8 `% n1 FWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)4 ]5 k1 k" Q5 C+ E
/ o8 G$ s" E) `. |3 Q: A  I

& j3 ~) d# g& T2 w4 {按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
' O/ I. U$ H: \* D, F: f; z0 V/ z' `: [/ \% s( {# t+ Q
PS:有时间把图加上去,或者作个教程
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

谢谢楼主分享技术。。

TOP

发点图比较容易吸收。。:lol    不过这样也行。

TOP

学习了……:D

TOP

哦 学习了  知己知彼方能。。。。:)
10字节写啥

TOP

有控发点图上来对比下
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

我本机测试了下6 T1 F; [0 J$ w4 s- m6 R# h

6 ?1 P) x, |2 D' ?6 D/ h! e如果更改了相应的组件之后,ASP木马就完全打不开了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

返回列表