- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看 6 e$ w& R: o( L+ }$ a* {
; o& I; L z3 ]3 [0 ~
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)! ?" k+ [, s, d7 [
信息来源:3.A.S.T网络安全技术团队% E) y2 p. I8 ~0 g' v
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
) A4 }; \6 `3 z) f3 ZFileSystemObject组件---对文件进行常规操作.5 ^$ X, E, ]" W1 w, X, s
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
) R& m, a( r4 Z, \Shell.Application组件--可以调用系统内核运行DOS基本命令.* D1 ?% |% N5 `: ~& @
; p" o& B/ g8 Q6 Z6 g( O
一.使用FileSystemObject组件) R9 w; H5 t" `- ~
0 i, s& A, }( \8 O
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
2 Q$ N$ q$ X: k& \1 x3 N) vHKEY_CLASSES_ROOT\Scripting.FileSystemObject\) _# C) ~2 L' ]/ q' [" A
改名为其它的名字,如:改为FileSystemObject_3800
+ f$ Q* k0 Z$ ]3 ^! |& E自己以后调用的时候使用这个就可以正常调用此组件了.7 j1 Y4 l3 k% W6 O G
2.也要将clsid值也改一下
! A0 ^: b7 O9 h1 eHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
0 @0 K( y4 ?$ O可以将其删除,来防止此类木马的危害.. K1 w9 ]1 N% t. V
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
, Z# ?; J1 }% `8 s2 G如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件" {3 ]9 g! K* W: y& c+ k' {/ a
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:$ h0 [6 z k5 _- b$ s$ I
cacls C:\WINNT\system32\scrrun.dll /e /d guests# o+ U! q' w' J% h6 ^% m ) c& R+ h% t$ E
3 ^! V: K+ M8 p: R W
二.使用WScript.Shell组件* x3 @0 F/ r1 E5 Q! C
1 x* T! s& ~6 V1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.* l! e; x. b. Y3 W3 c
/ m# P) f* e' l$ i6 m! C; U1 ^
HKEY_CLASSES_ROOT\WScript.Shell\
9 U3 N/ ?. y# I" R7 ~, |: a, M及
/ ?& Z' t7 E1 n" W6 }* WHKEY_CLASSES_ROOT\WScript.Shell.1\
6 E1 ^; I8 V/ P/ z/ l改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
. N$ ^, f5 t8 a: O% U自己以后调用的时候使用这个就可以正常调用此组件了
7 b8 u& n, y1 l& j- M) E6 y& i8 U5 z Q
2.也要将clsid值也改一下
! `( Q! ?0 Y1 u. xHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
2 e4 e* ?3 Z2 \( ]4 A- RHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值7 t& ~4 @1 ^# u2 v. a* u w. Z
也可以将其删除,来防止此类木马的危害。
2 L# J) F; j V9 E1 e
: p! N- k1 c6 L" }三.使用Shell.Application组件4 p h% Y0 D! R5 o. P' M
6 b, U( y! Q( a3 J* O8 q$ [
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。9 p( X4 T4 y$ A* X9 h% J
HKEY_CLASSES_ROOT\Shell.Application\# S! C( c z& Y) A3 q, A
及
2 V6 H6 O7 P) D( [4 K6 wHKEY_CLASSES_ROOT\Shell.Application.1\
4 c" q3 C& w7 C5 k改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName- {0 @* e. c/ {( s* s" ] w6 \
自己以后调用的时候使用这个就可以正常调用此组件了7 {0 P: e. S6 B5 I
2.也要将clsid值也改一下
6 R9 w+ S& L/ F- `& P+ G; t' g; OHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值, d! W: v) G/ z# ? D
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值; E$ W0 t/ s; q+ o% `$ F1 g
也可以将其删除,来防止此类木马的危害。8 H+ _6 A0 \& U) w
' C' w9 w1 }* H _ E1 v6 g" R
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
& z- _/ q* S. Q) }! Xcacls C:\WINNT\system32\shell32.dll /e /d guests+ r$ U- Y9 C* v }# V* d # y7 y. @, R7 w5 _
四.调用cmd.exe
% `2 h1 I3 S2 D0 \- n ! B; R7 z1 j: ~8 H+ C8 p
禁用Guests组用户调用cmd.exe命令: ~: T2 s6 Q8 F$ d9 n! J% k6 C0 P9 q
cacls C:\WINNT\system32\Cmd.exe /e /d guests
: j/ z/ |3 R- }3 t - e/ Y& H# G5 V) s" R% x
1 ~' {& p$ N4 L; x2 P
五.其它危险组件处理:7 u" N2 o. n' x" R# ] g7 ?5 P
" `; s; w9 `; ]( a* `
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 3 D [8 b/ G0 Q2 m2 h0 O# j, P
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)0 J; [& Z" l4 }( l: K
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)/ P" L6 Z0 L D* ]8 y5 M# |% X
- i4 U3 P( j3 Z0 ]& S. L: J, c/ P5 B) W- X
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
9 ~$ N0 r) V/ f" j I$ r/ P, l5 p
: J3 U% Y0 U* L; M- ]PS:有时间把图加上去,或者作个教程 |
|