|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
6 h4 L+ ?% T1 U9 l3 ~0 a! Y3 @ k$ \/ P. @- ?
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)1 M$ M- a4 v1 o+ y8 E$ i% y
信息来源:3.A.S.T网络安全技术团队7 E5 Z( { \$ q& v9 u E1 g# w
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
7 `3 h: O' H6 N( B$ a0 r( |/ c7 OFileSystemObject组件---对文件进行常规操作.1 z$ T: T4 A# C4 e' i* f- f$ H9 c
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
9 C# S v, x! v9 hShell.Application组件--可以调用系统内核运行DOS基本命令.
/ h w4 }1 \7 o2 U) N1 `( T, m' k5 c p* k# F" p' C+ J0 ]" \6 D
一.使用FileSystemObject组件
$ R6 T+ C" K+ j3 R9 p+ m7 W 7 X7 T9 U y( i- S. G
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.% `9 }+ E4 v* g9 \& ~! d+ Q) x
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
. J/ k+ ?; ~% A2 F3 ~$ s改名为其它的名字,如:改为FileSystemObject_3800
% O& e# g6 I* W4 P5 q& _: a自己以后调用的时候使用这个就可以正常调用此组件了.
+ a2 a0 G' V) u2 z0 z+ @+ m2.也要将clsid值也改一下
6 k* T" S3 z. R4 o/ o1 F, I* bHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值# T- \( m0 I/ _2 t6 u( q7 ^
可以将其删除,来防止此类木马的危害.2 y b& ?# Y& }) y7 W6 u1 z' w
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 9 G; I+ H: E6 A
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件6 Y$ s# T6 }% H: F* Y* r
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:; g, y/ i2 L. c2 z0 k2 p1 Y8 A
cacls C:\WINNT\system32\scrrun.dll /e /d guests' A" M% p& Z! L" z/ j& K
( f$ ^, n m. a# X- J二.使用WScript.Shell组件
8 u# ^5 K# ~! O! G% e 2 s/ c& b Y2 Z, q& `' i- V$ j
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
; L$ D! _$ f( b& X
5 l, ~; `9 V3 {5 C1 aHKEY_CLASSES_ROOT\WScript.Shell\
% U" `9 n4 B4 p. b及
h6 K2 _8 N; b5 D& p' Q' G4 G# b+ g' wHKEY_CLASSES_ROOT\WScript.Shell.1\' g0 R2 t4 Z# P6 L: g( K2 c
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc E. |' t" O( P* A0 l
自己以后调用的时候使用这个就可以正常调用此组件了5 |+ {2 y0 m; N3 q5 }7 {
: H3 A* e( O9 H2 b. W2.也要将clsid值也改一下: `* D* I5 D7 I t! o v9 D
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值1 Q" `* B# C) p
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
% `; {, ~0 [# x也可以将其删除,来防止此类木马的危害。2 [ ~- `/ f# ]4 d0 `
# a% {7 A# t* P; y6 F/ Y# t( y0 _" ?三.使用Shell.Application组件8 _2 p' h( j- D, L, P' y8 k
+ \% D+ S' _% O( v( E+ ]* k6 L1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
2 B4 @6 c0 O% A `' H5 ]" ^4 t- bHKEY_CLASSES_ROOT\Shell.Application\, K f; |8 j4 n- E# |9 z1 d8 O! `
及# ^7 W- a5 r2 N0 I. u# x
HKEY_CLASSES_ROOT\Shell.Application.1\
, a* A! o' g, G( ^6 X改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
5 R) s1 t9 _% }2 Y/ }自己以后调用的时候使用这个就可以正常调用此组件了& p. X+ C9 N) G) W2 i. H3 H
2.也要将clsid值也改一下; x X) _, u8 N- Q! A4 W" E3 {
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 O) h/ \0 h# e. s5 ]
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值: A9 T# K \7 Q& m- H
也可以将其删除,来防止此类木马的危害。" h6 U+ u$ m) {* o
" A' ^& O* T( q: A& Q9 i, w3.禁止Guest用户使用shell32.dll来防止调用此组件命令:; G7 t& f7 {, |) h' b$ x. z: Y9 I
cacls C:\WINNT\system32\shell32.dll /e /d guests; K0 O% W9 x7 U ^$ ^
四.调用cmd.exe
: ]2 r* t0 I% _ ; {* c/ C4 R% {% b" L5 f5 z" s
禁用Guests组用户调用cmd.exe命令:
9 | W( O+ o! o% s3 t1 i1 V4 i" z9 ucacls C:\WINNT\system32\Cmd.exe /e /d guests4 q6 Q+ F: M8 h2 H& W
3 f9 M. Z# p; s( A; B: ?& \/ w
五.其它危险组件处理:. d: u! k$ Q1 H8 a4 C% f
' O* i% ~$ U; Y- B) @7 m
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 2 T4 S# Z r+ e4 Z" }3 T3 v
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)4 ?( z5 J Y8 ~ v. J4 q, Y7 C
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
; |, q) ? w5 x
2 t; C: Q* M* ?. F6 T, c# `. {
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些., H3 t4 Z0 A% _3 }
- Q( J, L4 y" @' D
PS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
