- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看 ; a8 F: n$ P! G5 t+ H" }
' E! a: q* w8 _* E原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
! v/ h( ], A3 O0 g! ^. \ q( U信息来源:3.A.S.T网络安全技术团队 M/ X+ E/ G/ o
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
# [* q& k9 U$ d, H. a! M; ]FileSystemObject组件---对文件进行常规操作.4 D8 |2 Z. m. ~4 h3 g
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
% T: [5 j3 x- k; g6 D' zShell.Application组件--可以调用系统内核运行DOS基本命令.& c$ v& h5 u( S% `9 i/ s% W( S' {
4 C# n6 O. @7 Z8 X3 w& N
一.使用FileSystemObject组件7 ^$ x0 I% B# E
4 a3 v# `8 D* A: u" ?9 }3 A/ P1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.1 q( \5 D- Q6 G( ]8 X' E# K
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
; j% V( J) q, {' R8 P/ A& a3 v改名为其它的名字,如:改为FileSystemObject_3800
z2 V5 i: ~- {3 M3 m9 b$ I& g& q( E自己以后调用的时候使用这个就可以正常调用此组件了.
: o& q) p% v! C+ H+ Z( i; Q" D" \) q2.也要将clsid值也改一下
3 r, t* h3 g6 \HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
* d6 {% T; W/ w6 K8 I, j可以将其删除,来防止此类木马的危害.
7 e( S! y( i" d p; ] ]3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
, r& q) `! H$ Y% ?4 L$ q" A% r如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件: R1 c V( {1 Z* R: n
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
7 ?. ]+ x6 m* A* M+ Xcacls C:\WINNT\system32\scrrun.dll /e /d guests
6 y6 T- H6 O9 k& p0 c2 ` + o/ o, j d3 }3 X
5 i }8 ^9 o9 W% ?( z二.使用WScript.Shell组件
2 o' Y9 d% P X- Y; i 4 W2 L5 F1 q2 B! E0 a! U) b
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
3 ^" G3 t5 U; w% h1 o+ }7 [0 W/ v
' C3 p" O. Q& d, e1 X6 ?; iHKEY_CLASSES_ROOT\WScript.Shell\# x$ L- q: P9 i. |' W" m
及& R1 s3 t) i; q; x' }9 G
HKEY_CLASSES_ROOT\WScript.Shell.1\% p1 q1 ]1 i a0 k/ G7 W
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc3 ~% h7 W3 G" D/ V
自己以后调用的时候使用这个就可以正常调用此组件了
, K! |7 }. J" x6 c% k) ^ Z! G* }% h" G
2.也要将clsid值也改一下3 W8 e5 z# m! J, T( ]
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
6 G% @! d2 F% d; N9 dHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值+ W1 _, P2 t- e3 m2 J" y8 h/ Q
也可以将其删除,来防止此类木马的危害。- e$ h0 s' l: `2 U4 m
o j; k0 G+ ]" q7 d' u$ B3 V三.使用Shell.Application组件$ e$ u, v a, \6 k* w
4 u8 |4 h2 ]' K* N1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
$ m2 g% @& ~6 [6 Q8 Q. UHKEY_CLASSES_ROOT\Shell.Application\' S$ Q/ B0 O& J6 Q
及0 D1 M7 s% ]' x' I0 Y9 ?5 w% [7 x
HKEY_CLASSES_ROOT\Shell.Application.1\, f( E0 p' w6 R! d6 W- o. E
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName" m' B5 [2 v& @
自己以后调用的时候使用这个就可以正常调用此组件了 Z! b- f( m1 f2 ^
2.也要将clsid值也改一下4 }" ~1 R* v5 B9 T
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值" E& y1 D( Q* L, b4 K$ ~. J) z$ m1 E: I
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值' w* G: e1 u$ q8 Y
也可以将其删除,来防止此类木马的危害。
, X6 @/ _3 ]8 V9 ^% i6 c" u
. o. N/ F7 L; \7 `2 U0 M; ]6 h3.禁止Guest用户使用shell32.dll来防止调用此组件命令:" }% v! E# Z8 u8 K% X
cacls C:\WINNT\system32\shell32.dll /e /d guests
' W% z0 k/ k3 V* w+ S* i9 c. X
; X$ l# A( l5 s四.调用cmd.exe
2 W/ r* R% V) D. ]/ s3 M 5 A; h$ X: e" Y0 N# D
禁用Guests组用户调用cmd.exe命令:$ e3 c+ N+ G+ t
cacls C:\WINNT\system32\Cmd.exe /e /d guests
O# v7 l6 v2 a% @* h* b* J + t$ j" j: f6 u9 q9 v& I
4 @ B$ Y0 w4 P/ E1 O
五.其它危险组件处理:0 b0 ]) [. {* R) W; s
/ R9 G; |! { @; i( ^2 LAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
- o5 Y g6 B& SWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
+ }1 o6 J" r8 [% b9 QWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
) `; J9 c, J4 V% {$ o 5 M) V! T2 I( q8 I+ K9 D
1 w, N! r' E+ |按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
5 U2 k7 O$ A$ G# c& c5 d; e
" L- Z' j2 d# A/ SPS:有时间把图加上去,或者作个教程 |
|