- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
6 v+ {" _) D4 L! a5 ~+ ~" c. j% ]
/ y1 C) R! f. i/ R2 R/ B/ ]7 B原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
}" G5 m) X/ Q9 p& K; [! d信息来源:3.A.S.T网络安全技术团队+ D. L7 J% u4 g D! P. d
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
4 F7 ~/ d8 d% h5 D8 e' oFileSystemObject组件---对文件进行常规操作.1 ?& j. e7 X6 {+ N7 Z* |
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
7 h5 p/ R9 x7 y0 v! r' ?Shell.Application组件--可以调用系统内核运行DOS基本命令.) c% |; T6 b2 G9 N
5 N" `. N5 \ \1 R, D; H3 F, `( n一.使用FileSystemObject组件0 M/ P' @4 ^2 q+ i
2 _/ E3 M4 h1 v
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
! \' a/ z, N. z! T$ g: r4 ~8 w: QHKEY_CLASSES_ROOT\Scripting.FileSystemObject\8 f( X9 I& Y; D# s
改名为其它的名字,如:改为FileSystemObject_38001 m- h3 Z# q, X: I7 D
自己以后调用的时候使用这个就可以正常调用此组件了.& U2 `- t, I- L* |) _8 _4 j" i
2.也要将clsid值也改一下
) h. S" {9 D; W- J( Z, L$ dHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
: e( w S$ ?% }可以将其删除,来防止此类木马的危害.
9 w2 U- \. j: P4 a1 H3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 5 M& A) G. m7 m! R* _
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件( o8 d9 }: d& \) S% ?2 E
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
0 l& o$ Z* x% x" F0 w6 fcacls C:\WINNT\system32\scrrun.dll /e /d guests8 N, N" l3 C" u% @% U6 \6 ? 6 _( l; w' R/ _- r9 r
, G; u) G, `9 G1 }) ~二.使用WScript.Shell组件
/ B2 y6 _8 s* ?7 a5 y5 e# u6 e. T5 v $ @9 J b* S& y1 p% f8 ?
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
; @; `! ~ ]' y* z; i4 V# {& Q$ P7 E
HKEY_CLASSES_ROOT\WScript.Shell\: S: N$ \& f' u* G( w# [+ @
及
* A; [; T, W- ~( K2 p4 ^: q+ |' WHKEY_CLASSES_ROOT\WScript.Shell.1\
; N% }8 y9 \. d" t) w, X) }改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc* f0 P& l% Y7 n: |
自己以后调用的时候使用这个就可以正常调用此组件了
. `$ F4 u( u' C1 j% ~* Z, c! q: Y
. k* f( ^' o v2.也要将clsid值也改一下4 r1 u8 ?5 r5 R5 ^* ?' v
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
# M: g" n. Q1 u, \. x1 fHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值- l2 v- g4 F, w( o* @% A& h# W7 o& G
也可以将其删除,来防止此类木马的危害。& |4 `3 X8 j& f$ Y' m0 K: z
$ u6 i( a N: j' I( x三.使用Shell.Application组件
3 M6 X: j ?$ [" n) [% ?8 o 9 }# ~. c+ }/ C
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。' Z: u a! x9 Y m( y* X. H
HKEY_CLASSES_ROOT\Shell.Application\1 A7 [. e E, j# ?# K6 J. G& B6 A
及
) K2 I# h! Z" @& M9 O% p7 C s; BHKEY_CLASSES_ROOT\Shell.Application.1\
7 \ [, c* X/ v, T% E& \5 h7 P改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
& o5 c& r, \7 ^* ^" L自己以后调用的时候使用这个就可以正常调用此组件了# ]6 @( W% [7 R* _3 W% @
2.也要将clsid值也改一下5 S) q$ p5 N" N( A" l6 v" D' ?; T! ?
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值# I+ p6 G5 o* l0 f4 K# s- A
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
G6 s! ?! ?9 P* N1 j也可以将其删除,来防止此类木马的危害。
: r- \9 s7 K7 V+ p+ {0 q$ B0 z& X5 N' p( ?
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
. N' G: \3 E5 q v' ycacls C:\WINNT\system32\shell32.dll /e /d guests* R+ K0 g) }! c+ W' w ) X2 z$ F0 \' i& A P0 g/ G% U
四.调用cmd.exe
. s c( N& q' n, ]. r " j; B/ `* P9 v
禁用Guests组用户调用cmd.exe命令:, k7 Y; o3 A3 f
cacls C:\WINNT\system32\Cmd.exe /e /d guests# ^. J( j" t4 X9 |2 ?5 |/ @
: X4 {" n/ ?! i2 e8 p( g# \
0 E+ K' V; ^1 h: N& i: t! Y+ j; E五.其它危险组件处理:
6 ^2 t& Z& D0 \8 q* B
4 y9 ~6 H3 [0 O% w4 f' O9 oAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
3 c4 R; g; N: s2 A X5 l3 m% C- N! hWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)" s3 ~2 f. C; B5 Y$ s& v
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)/ c1 \+ W, D7 x& ]6 J" e
( B! Q1 W6 U$ Z- \0 V! A8 r# } l; u5 c. M, s* i
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
J a) [& k8 |2 R0 X+ K/ ]; G5 L
) [, v1 t) Q$ }* V6 a6 T- x( x ]PS:有时间把图加上去,或者作个教程 |
|