返回列表 发帖

[原创文章] 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
; a8 F: n$ P! G5 t+ H" }

' E! a: q* w8 _* E原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
! v/ h( ], A3 O0 g! ^. \  q( U信息来源:3.A.S.T网络安全技术团队  M/ X+ E/ G/ o
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
# [* q& k9 U$ d, H. a! M; ]FileSystemObject组件---对文件进行常规操作.4 D8 |2 Z. m. ~4 h3 g
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
% T: [5 j3 x- k; g6 D' zShell.Application组件--可以调用系统内核运行DOS基本命令.& c$ v& h5 u( S% `9 i/ s% W( S' {
4 C# n6 O. @7 Z8 X3 w& N
一.使用FileSystemObject组件7 ^$ x0 I% B# E

4 a3 v# `8 D* A: u" ?9 }3 A/ P1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.1 q( \5 D- Q6 G( ]8 X' E# K
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
; j% V( J) q, {' R8 P/ A& a3 v改名为其它的名字,如:改为FileSystemObject_3800
  z2 V5 i: ~- {3 M3 m9 b$ I& g& q( E自己以后调用的时候使用这个就可以正常调用此组件了.
: o& q) p% v! C+ H+ Z( i; Q" D" \) q2.也要将clsid值也改一下
3 r, t* h3 g6 \HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
* d6 {% T; W/ w6 K8 I, j可以将其删除,来防止此类木马的危害.
7 e( S! y( i" d  p; ]  ]3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
, r& q) `! H$ Y% ?4 L$ q" A% r如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件: R1 c  V( {1 Z* R: n
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
7 ?. ]+ x6 m* A* M+ Xcacls C:\WINNT\system32\scrrun.dll /e /d guests
6 y6 T- H6 O9 k& p0 c2 `
+ o/ o, j  d3 }3 X

5 i  }8 ^9 o9 W% ?( z二.使用WScript.Shell组件
2 o' Y9 d% P  X- Y; i
4 W2 L5 F1 q2 B! E0 a! U) b
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
3 ^" G3 t5 U; w% h1 o+ }7 [0 W/ v
' C3 p" O. Q& d, e1 X6 ?; iHKEY_CLASSES_ROOT\WScript.Shell\# x$ L- q: P9 i. |' W" m
& R1 s3 t) i; q; x' }9 G
HKEY_CLASSES_ROOT\WScript.Shell.1\% p1 q1 ]1 i  a0 k/ G7 W
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc3 ~% h7 W3 G" D/ V
自己以后调用的时候使用这个就可以正常调用此组件了
, K! |7 }. J" x6 c% k) ^  Z! G* }% h" G
2.也要将clsid值也改一下3 W8 e5 z# m! J, T( ]
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
6 G% @! d2 F% d; N9 dHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值+ W1 _, P2 t- e3 m2 J" y8 h/ Q
也可以将其删除,来防止此类木马的危害。- e$ h0 s' l: `2 U4 m

  o  j; k0 G+ ]" q7 d' u$ B3 V三.使用Shell.Application组件$ e$ u, v  a, \6 k* w

4 u8 |4 h2 ]' K* N1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
$ m2 g% @& ~6 [6 Q8 Q. UHKEY_CLASSES_ROOT\Shell.Application\' S$ Q/ B0 O& J6 Q
0 D1 M7 s% ]' x' I0 Y9 ?5 w% [7 x
HKEY_CLASSES_ROOT\Shell.Application.1\, f( E0 p' w6 R! d6 W- o. E
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName" m' B5 [2 v& @
自己以后调用的时候使用这个就可以正常调用此组件了  Z! b- f( m1 f2 ^
2.也要将clsid值也改一下4 }" ~1 R* v5 B9 T
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值" E& y1 D( Q* L, b4 K$ ~. J) z$ m1 E: I
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值' w* G: e1 u$ q8 Y
也可以将其删除,来防止此类木马的危害。
, X6 @/ _3 ]8 V9 ^% i6 c" u
. o. N/ F7 L; \7 `2 U0 M; ]6 h3.禁止Guest用户使用shell32.dll来防止调用此组件命令:" }% v! E# Z8 u8 K% X
cacls C:\WINNT\system32\shell32.dll /e /d guests
' W% z0 k/ k3 V* w+ S* i9 c. X

; X$ l# A( l5 s四.调用cmd.exe
2 W/ r* R% V) D. ]/ s3 M
5 A; h$ X: e" Y0 N# D
禁用Guests组用户调用cmd.exe命令:$ e3 c+ N+ G+ t
cacls C:\WINNT\system32\Cmd.exe /e /d guests
  O# v7 l6 v2 a% @* h* b* J
+ t$ j" j: f6 u9 q9 v& I
4 @  B$ Y0 w4 P/ E1 O
五.其它危险组件处理:0 b0 ]) [. {* R) W; s

/ R9 G; |! {  @; i( ^2 LAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
- o5 Y  g6 B& SWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
+ }1 o6 J" r8 [% b9 QWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
) `; J9 c, J4 V% {$ o
5 M) V! T2 I( q8 I+ K9 D

1 w, N! r' E+ |按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
5 U2 k7 O$ A$ G# c& c5 d; e
" L- Z' j2 d# A/ SPS:有时间把图加上去,或者作个教程
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

我本机测试了下
7 U& a& g5 c1 x9 ?9 i( A' n; v% J( {* [
如果更改了相应的组件之后,ASP木马就完全打不开了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

有控发点图上来对比下
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

哦 学习了  知己知彼方能。。。。:)
10字节写啥

TOP

学习了……:D

TOP

发点图比较容易吸收。。:lol    不过这样也行。

TOP

谢谢楼主分享技术。。

TOP

返回列表