返回列表 发帖

[原创文章] 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
( J9 Z- Y& z! L4 h" [$ a( B7 ?! D- z

, L, ~1 t4 _% p# }  R! G& o原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
, E2 l# V( t6 Z( u5 U( ?信息来源:3.A.S.T网络安全技术团队
4 a2 A) d+ j- l9 c' {. d! v7 b防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.1 D* |2 ~9 M! z, D
FileSystemObject组件---对文件进行常规操作.
) _" f1 B, I3 ^* j1 Z: I/ BWScript.Shell组件---可以调用系统内核运行DOS基本命令.
( A! X9 T( Q6 N# |Shell.Application组件--可以调用系统内核运行DOS基本命令.( p# |3 I9 h/ I
4 x# J7 L% z7 a
一.使用FileSystemObject组件  n- T" D7 b4 P( f3 q1 F# g. }& f

, g8 _+ H% ?5 Z" a* Z1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
+ U6 O: t& u5 F9 M0 pHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
6 \2 s6 _& V* v$ F7 q! Q8 w改名为其它的名字,如:改为FileSystemObject_3800- ~( l3 x8 r/ ]) G7 S/ w
自己以后调用的时候使用这个就可以正常调用此组件了.  l' M. `) A8 R" K1 s
2.也要将clsid值也改一下- ^5 }. l! ]! E4 w
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
6 @. j  M5 D% D6 ^可以将其删除,来防止此类木马的危害.
- o4 A" ?! s7 n3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  ) u, ], ^- H1 ^7 p  }4 t5 N
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
% q; y. g, E, ~  e5 Q& k7 o4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:- a, f; J9 t/ P; x6 P$ R3 i& ~
cacls C:\WINNT\system32\scrrun.dll /e /d guests
* B6 g7 S/ l- M: [

5 J1 v+ R+ N1 d, \5 {6 Y$ h& s
; `4 E# p. h, c  H! g% {* v二.使用WScript.Shell组件
/ n7 T+ ^1 M. {: T" E5 i

# L, \! V& D2 ~0 L2 W1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.. t; v; |* p7 R7 f6 N
2 Q: h5 I* V% P( b/ N
HKEY_CLASSES_ROOT\WScript.Shell\
) q3 N6 l& V" }5 J. b1 B6 Z+ l2 A
  w+ \6 o2 w" rHKEY_CLASSES_ROOT\WScript.Shell.1\
2 I1 J% K% P9 ?& a改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc; i5 X) |/ ^- J* l
自己以后调用的时候使用这个就可以正常调用此组件了$ ^2 N* E2 K8 f+ T* [! Q; J  W* d

: v) l. y+ T5 e7 w! T1 A2.也要将clsid值也改一下; O! O" r& y$ f! a; Z  a. H
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
" X0 q! N) B1 H9 e1 }# j% ]1 rHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
  P/ A0 B$ j) ]: G! H8 g( `也可以将其删除,来防止此类木马的危害。4 u9 _* {  _1 l* E& {

1 T% d& x  x; F4 \三.使用Shell.Application组件/ b& i( q% f+ N( V6 Q! \
. m0 y4 D- q) P* X
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。9 V# l& q! D. K
HKEY_CLASSES_ROOT\Shell.Application\
+ F& @8 s1 A% M( d% ]5 r) Z. m- z) o# v* \% u) B
HKEY_CLASSES_ROOT\Shell.Application.1\
  I) z" ^" l: @8 x改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName9 U- r$ ~! m& o) W$ s( c  r# e
自己以后调用的时候使用这个就可以正常调用此组件了
7 h: e8 _8 |4 R6 k* N2.也要将clsid值也改一下( n( L- Y" a; J6 I2 P: C
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值5 _* a, L; S) Z% e) T
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
, |. V7 j0 {0 Q- D也可以将其删除,来防止此类木马的危害。, u' w$ J; a$ P/ S- L0 y( g- e

, ?& |. I$ |+ s5 B3.禁止Guest用户使用shell32.dll来防止调用此组件命令:$ O; P; {1 i' \8 c. I- x7 H% f
cacls C:\WINNT\system32\shell32.dll /e /d guests
7 t% r7 B$ h  r7 O
1 U' n  T' b- v0 y
四.调用cmd.exe' x7 W+ H3 p, j( S! v! d, S
! u$ c- V' V0 `7 V* x! o* |
禁用Guests组用户调用cmd.exe命令:) ^8 I$ b( W' L% X) d  _; D( ~( ^
cacls C:\WINNT\system32\Cmd.exe /e /d guests
) ?0 o8 w4 f2 H3 i) J7 J( R0 w

$ T3 }$ t& D3 b3 [( p3 ?- c/ z; @' t$ k, i; l# p# Z
五.其它危险组件处理:
* Y2 a; I, w2 z+ m: A' a2 h0 i, ~2 q

- K6 o: p4 z5 U! ~  p* f$ n3 h- eAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 7 b7 k4 B2 x9 K/ ~( D- y! R
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)" Q4 O7 _+ V8 N" Y! n) A# w) \
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
  p  _: d/ U+ |* m1 C
1 o- z4 o& G2 k5 x  P! g5 _/ G
2 R0 U0 ~% s3 [, K& d2 Q' K
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.0 y, h- m! R. q7 ~; x
% ~. L% h9 ]  ^2 m0 |1 C9 x0 L
PS:有时间把图加上去,或者作个教程
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

我本机测试了下5 t- d5 b1 H& n
; |: f( d3 d) ?* }0 M3 s$ N7 G+ ^4 L
如果更改了相应的组件之后,ASP木马就完全打不开了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

有控发点图上来对比下
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

哦 学习了  知己知彼方能。。。。:)
10字节写啥

TOP

学习了……:D

TOP

发点图比较容易吸收。。:lol    不过这样也行。

TOP

谢谢楼主分享技术。。

TOP

返回列表