返回列表 发帖

[原创文章] 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看

5 Y5 _0 W1 A0 n! \
5 x: H; Q# t1 ^% M1 Z2 }5 T0 O原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)7 ^1 j9 t+ ~! t/ ^; Y
信息来源:3.A.S.T网络安全技术团队
9 e- P' `$ o: r3 E! e防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.1 g6 `* g2 f% p, |& s' W+ I
FileSystemObject组件---对文件进行常规操作.
2 r. Y' w. I0 mWScript.Shell组件---可以调用系统内核运行DOS基本命令.2 u. d9 t& }8 Q% M7 J' ]8 V
Shell.Application组件--可以调用系统内核运行DOS基本命令.: H1 x% n9 G- T! C: Y8 u

: p6 Q3 \: a9 X/ _( v" B一.使用FileSystemObject组件
) J/ [3 v/ |. z( T
: Y, T' s) l+ |. i* t$ Y/ e1 J# h
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
/ w2 [3 U0 j+ Q* g1 e' c" d- ^HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
! ~; S* ]2 C$ f  `: P改名为其它的名字,如:改为FileSystemObject_3800
/ @2 U' {1 ]; ]自己以后调用的时候使用这个就可以正常调用此组件了.
: |# ?* j, U4 @/ P, Z, ~: ^2.也要将clsid值也改一下
* d& h; O* X3 \3 GHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
0 i" O% E/ G9 J3 c8 F* H; W* a可以将其删除,来防止此类木马的危害.. |$ Y1 a" Q' i, k. F3 A- ?8 X( ]' j
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
8 {4 e4 z6 k0 q0 |. ?+ V如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
! v9 {9 y, M( t0 B4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:* f5 B. r, p3 y3 ^! r7 B7 N1 r
cacls C:\WINNT\system32\scrrun.dll /e /d guests
0 f4 @: C4 N; y$ @% ~7 r5 r
. i! P* C6 d% s) \0 \/ s7 z0 }

" z9 f1 V- `0 X二.使用WScript.Shell组件" J+ }& v( w. y# z" Y) P' r3 ]) t0 I9 D
$ m/ W* q0 ?" A, ]4 ]+ G. }
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
% z7 S8 D( L1 c8 B2 |' b
9 A( H, g* W. |/ |+ bHKEY_CLASSES_ROOT\WScript.Shell\
$ q" R0 \9 X) D3 J, K8 ?  j
( m5 S8 y- `/ {: e& T3 nHKEY_CLASSES_ROOT\WScript.Shell.1\
6 v0 O8 ]; x" t7 v/ D/ e8 I改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
) a. K! ]) {# Y6 Q+ k% ~7 c自己以后调用的时候使用这个就可以正常调用此组件了6 _- A7 g# n1 U0 j( j, B6 A& T
9 C# s7 S$ s+ ?- a
2.也要将clsid值也改一下3 G8 l5 f/ R. C$ E
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值- {* A% |4 ~0 {- B9 l# R- e
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值, S1 L& y+ G0 ?
也可以将其删除,来防止此类木马的危害。
9 X# E( t8 u: {, W- \: S

& T4 K3 }/ s, u- ]) Y三.使用Shell.Application组件
6 T- p8 W+ U2 t& |; Q& @
7 e! y9 o) J4 P' h; v
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
$ s: k2 [$ [' J2 vHKEY_CLASSES_ROOT\Shell.Application\8 G+ G( W! G" \+ U9 [3 L0 h
; [  ?6 p; r+ ~
HKEY_CLASSES_ROOT\Shell.Application.1\
/ m$ W6 u9 ?& z' P: o- P改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName3 U7 y% x0 b, n- y
自己以后调用的时候使用这个就可以正常调用此组件了
  [" f7 N3 B6 t2.也要将clsid值也改一下
- u3 |9 ^& A7 R. P2 e' ~HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
3 r: h! x7 Q; L" `. ^HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
) {0 Z4 q  ]+ G& i7 Y也可以将其删除,来防止此类木马的危害。
  T9 R) {% Z3 Q' T, O1 m0 J
) v' o# O7 C  a9 a" Y& g3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
: x9 L) {% Q; ]- L: c' b7 |' P! Bcacls C:\WINNT\system32\shell32.dll /e /d guests
& a1 ~0 D/ d( A% T% z

% P  ~: h# ?0 D' t6 K4 A四.调用cmd.exe
' Y: ?: u# ?7 Y2 a+ @
- Y  `) r' E+ Q% E  h* y
禁用Guests组用户调用cmd.exe命令:
3 {. `: D7 \3 ^9 J8 N. ]) }cacls C:\WINNT\system32\Cmd.exe /e /d guests6 T( N) |6 |3 t6 r) E8 S$ Q: L% d

- @/ m7 x/ P8 o* g% w) p/ `
- G  ]6 M3 I# }+ O# K' y五.其它危险组件处理:
; N# \+ N1 o2 h+ u* S+ W# y
# ^2 A) |5 i* I3 Y) p  _( a
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 6 s: ]' n& \7 F
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)- x/ Z1 U- j+ @' j2 _$ [0 x
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)6 T& L, g2 `6 s& Z9 u  v

! l+ m0 X, [4 n, I4 H) ^, I% @# v, y
/ Q  k( Z% w. `9 u7 b" o! B: o按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.) ~2 p" S  S+ y' u$ P
8 {; q) ?; O( f% I$ }
PS:有时间把图加上去,或者作个教程
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

我本机测试了下0 ?* S- B. s3 P8 b, k

7 y# J' L) m( e# M* W如果更改了相应的组件之后,ASP木马就完全打不开了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

有控发点图上来对比下
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

哦 学习了  知己知彼方能。。。。:)
10字节写啥

TOP

学习了……:D

TOP

发点图比较容易吸收。。:lol    不过这样也行。

TOP

谢谢楼主分享技术。。

TOP

返回列表