- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
+ c9 ^$ f! b9 V% W0 l) w+ r- F& J, r x" D N
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)* `# |7 Q1 s. j$ K
信息来源:3.A.S.T网络安全技术团队
+ q3 f7 a' K# _6 s! h. a* v3 \防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.: E) G a, I- Z6 C( s
FileSystemObject组件---对文件进行常规操作.7 L8 M& f6 w( \
WScript.Shell组件---可以调用系统内核运行DOS基本命令., ]2 i' {7 `: n+ \6 s, g. i
Shell.Application组件--可以调用系统内核运行DOS基本命令.
* y# A8 A# o8 Z( ~7 Q* ?9 l: y* ?: ]4 V& o
一.使用FileSystemObject组件2 X$ D- U8 R& t1 Y
; H0 ]+ y9 J0 p* i( v6 G( T
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
! ]0 v( U" v Y% V Y4 r% lHKEY_CLASSES_ROOT\Scripting.FileSystemObject\. L! y3 Z% A, Q; E% X. |' H
改名为其它的名字,如:改为FileSystemObject_38006 f; _8 @4 A! [# m4 `
自己以后调用的时候使用这个就可以正常调用此组件了.
8 h0 @; _4 { N" r5 h2.也要将clsid值也改一下
/ q2 \" d$ O* a9 R! l: ]& u/ F* OHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
7 o: @% @: [6 o3 ?5 Z可以将其删除,来防止此类木马的危害.! Z/ P& a5 B+ D3 H) E% i/ \6 c) L+ N
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll # d0 L+ H& |7 @! Z/ o' J/ Y
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件3 l- ~3 }6 D0 F. B8 ^0 I
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
% \- N: M2 ?5 y! \6 ecacls C:\WINNT\system32\scrrun.dll /e /d guests
7 R I1 C N0 {, @
$ e6 _) N2 h; ^/ `# Z
( o5 ]# g' B% Z* H7 r; h3 X' T二.使用WScript.Shell组件; E; T2 v( N0 x2 w5 z1 F# E F
3 {5 o: v b( ~: o
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.# x) C4 b" ?4 V1 B9 d( D
* [- T7 f2 V, w3 [! x0 \) f O
HKEY_CLASSES_ROOT\WScript.Shell\4 U; Z) x$ l* Y4 x7 y+ O
及
0 w6 E3 O! F+ N; ?9 S$ m V7 UHKEY_CLASSES_ROOT\WScript.Shell.1\
; _! n" M7 h* Y5 P' J3 {改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc; |2 G. l& U/ e' f; [9 Y
自己以后调用的时候使用这个就可以正常调用此组件了
/ c6 y# Q h) u* T1 g" w+ v9 S) I/ D' s! y- p
2.也要将clsid值也改一下
) ^- p* m( M. W X6 t2 h3 }HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
4 N! }) W" u0 `& z C9 s, E' zHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值. a* ~, s- H; p# G) \
也可以将其删除,来防止此类木马的危害。: y( P) s4 G9 z" U2 x% o 1 c( v; Q+ o) o/ M* x- N% ~5 [ @
三.使用Shell.Application组件
8 G! W8 N, S; h. I8 V
+ Y) M; Z- c& [8 o1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。; b v' Z4 J3 Y" u/ Q
HKEY_CLASSES_ROOT\Shell.Application\
! D; j% f3 [( Z/ l; T及
. Z( y, G7 A$ P, q) t/ HHKEY_CLASSES_ROOT\Shell.Application.1\
$ y) b o. U% B% k6 M' G改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName9 g0 ~! {. O5 m8 Q f
自己以后调用的时候使用这个就可以正常调用此组件了7 g8 Z. E+ @7 |
2.也要将clsid值也改一下% ]# R) c* G0 B- w( L$ I" p
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
! R8 I: q# K+ `8 u7 [' a* y7 EHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 f6 R0 V+ o/ A" l! [! `
也可以将其删除,来防止此类木马的危害。
# |. m/ _9 A2 P5 x. h
* k: \6 C) l& C1 H7 M3.禁止Guest用户使用shell32.dll来防止调用此组件命令:+ j, k- C, _) g
cacls C:\WINNT\system32\shell32.dll /e /d guests
3 ?. D) K5 @! u; m7 y% `8 A) D . ]7 U9 R$ P3 ~( D& C3 N% Y
四.调用cmd.exe n7 @4 x1 s6 {2 x6 j: t+ M. X
- y) {6 g. w2 E% X, P5 K禁用Guests组用户调用cmd.exe命令:0 j/ b7 O; H3 [' x. o1 E
cacls C:\WINNT\system32\Cmd.exe /e /d guests
7 H+ d2 C3 \' V' \$ N3 Q
{8 `# u" `4 ?, j0 R6 B# I$ Z/ r3 l
五.其它危险组件处理:
4 o* p# J! _/ Z }- y& |+ f" ^$ K
6 f' k/ h* P$ |6 M( pAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
: E6 i" I+ |/ Y* R% bWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
" ?; ? ~5 k) n% W8 `% n1 FWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)4 ]5 k1 k" Q5 C+ E / o8 G$ s" E) `. |3 Q: A I
& j3 ~) d# g& T2 w4 {按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
' O/ I. U$ H: \* D, F: f; z0 V/ z' `: [/ \% s( {# t+ Q
PS:有时间把图加上去,或者作个教程 |
|