- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看 7 Q I% O% Y1 Y0 g' D7 z' @; `/ r
# Y9 W8 G4 @9 x5 k原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)+ I, |$ C; I/ Y) [8 V& c
信息来源:3.A.S.T网络安全技术团队
* Y( q) p. \+ Y: a& r. i# n防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.& \% U3 D; s0 s& S2 p
FileSystemObject组件---对文件进行常规操作.# r# W D3 h. {, K
WScript.Shell组件---可以调用系统内核运行DOS基本命令.# N. [% F/ @* q, a7 m
Shell.Application组件--可以调用系统内核运行DOS基本命令.
6 u. }) N: I0 x$ l) x( @8 M) r, d3 M
: m0 a: y* r! N! Y一.使用FileSystemObject组件8 |# b6 L; @4 e: D- [, f/ B: W: w6 A
: q9 G$ t5 N5 w) r1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
# L2 r8 Q9 E3 M! t+ NHKEY_CLASSES_ROOT\Scripting.FileSystemObject\7 G* x0 W) n- h' i% w3 f. e! g
改名为其它的名字,如:改为FileSystemObject_3800
6 m( F# {- ^2 @8 @- Z4 V自己以后调用的时候使用这个就可以正常调用此组件了.
* K% X6 D. I6 \; x, |! U. d' a, D2.也要将clsid值也改一下3 I7 k }% k3 [% L# v
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值. ~$ o7 z9 |4 f" a
可以将其删除,来防止此类木马的危害.
* V r& u( |. e0 ?, b. O* a3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
# w- S. A! Y, `1 X. s) D如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
4 p' Q: P8 g& j$ y% [% X6 [# l4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
8 X O+ y% @' ncacls C:\WINNT\system32\scrrun.dll /e /d guests; Z7 J0 _* s' R , j& K* K% b6 X" a" Z$ [
( n' ~$ ?5 I8 O
二.使用WScript.Shell组件
2 O# i/ _' v7 V8 y
% W t* A# E& a, ]7 r$ [7 o1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.7 d% O7 s) i) Q( [
- W0 h: M2 o" m5 Z) m
HKEY_CLASSES_ROOT\WScript.Shell\# `0 Q; h% J' f" x+ e
及
/ `/ p& @) i4 \HKEY_CLASSES_ROOT\WScript.Shell.1\
/ r( @; m( L# e. `改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
i/ D5 [! ` S& I6 L! [3 a自己以后调用的时候使用这个就可以正常调用此组件了8 a6 X+ k. m1 k' K* l1 Z% i
. E* p4 a' }* g4 Z$ k: E
2.也要将clsid值也改一下/ n' j8 ?" H# l' z7 x+ B
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值: C/ i6 v) T, U' E0 K$ W
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
' `' k* d: o2 P& i5 u) h也可以将其删除,来防止此类木马的危害。
4 ^% ^; d$ Y" z% b' z, J9 o2 x" w 9 x$ _# n. g( @" Q- Z
三.使用Shell.Application组件# M: E0 X1 a- q
* `7 p1 H; J9 j# r$ s+ Q
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
8 ]1 s( }( Y7 OHKEY_CLASSES_ROOT\Shell.Application\- Y/ d P% Y8 |5 W: h
及
5 B8 E* @" i, ~+ r- WHKEY_CLASSES_ROOT\Shell.Application.1\7 |! U5 N1 v' D2 _9 S$ q H8 h
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName( K0 P3 q1 [7 d1 G) ^# Z! [
自己以后调用的时候使用这个就可以正常调用此组件了
! j0 H- n* Y) K, c- s% N2.也要将clsid值也改一下
6 a6 F1 G/ x3 r9 a8 M- J( \" ^. NHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
- c; b5 Q+ j9 t( P- m, BHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
0 k" R! i3 N0 T" s: O6 d$ p也可以将其删除,来防止此类木马的危害。( g6 U4 H8 R% b M. b% X/ [% u
4 Z0 T8 L: Z E$ A% Q! R
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:% Y1 V# V, Q5 j# w
cacls C:\WINNT\system32\shell32.dll /e /d guests/ `6 n6 K& z, m! t3 F- w1 R
4 U. u* W4 c1 `四.调用cmd.exe, s+ b( w6 H; b# O% L5 {. ]
7 x& |2 y3 L% V! i禁用Guests组用户调用cmd.exe命令:
! o( v8 b* L! H1 y5 }# C3 k8 R! Mcacls C:\WINNT\system32\Cmd.exe /e /d guests
; [+ I* V9 S* x% f* y / C/ \( d; |8 ]! ?
3 H, w) }, R# `; d五.其它危险组件处理:, V. I: V; g) b6 T F% g
. w6 Y+ z5 f/ ?3 o8 QAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
& Y9 A8 {$ U& e: p9 y3 _0 }WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
' `6 H2 }/ n- p9 h/ O* vWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
+ _9 E1 B+ D; w! Y
r0 j- V3 b+ @% Y2 f' Y9 Z+ r3 H1 R$ e$ M
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.1 C8 H+ h! x, d
) m3 L/ r7 u; Y# O
PS:有时间把图加上去,或者作个教程 |
|