返回列表 发帖

[原创文章] 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
( Y8 a) `6 G7 m' @6 K1 H3 B

3 H" O# I8 w7 `% `3 Z原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
5 }) w5 |" @9 t5 ]信息来源:3.A.S.T网络安全技术团队# ?* ^7 R$ I& d9 k. T. {# f6 }5 G
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.2 W: b% S+ l  J: f4 K9 V. U" G  c
FileSystemObject组件---对文件进行常规操作.  X6 y( G  I7 f" d* ?7 ~
WScript.Shell组件---可以调用系统内核运行DOS基本命令.% a1 O" o7 |) n: j; t9 l* g
Shell.Application组件--可以调用系统内核运行DOS基本命令.
8 o  C9 D: L) X" a3 ], G6 z% G2 y/ X1 L: @
一.使用FileSystemObject组件
2 g' q( o$ X' x' F* b" a) O

9 x4 L+ S/ N: K7 }* x) C8 h1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
; S' R1 Z) D/ g3 wHKEY_CLASSES_ROOT\Scripting.FileSystemObject\2 b, h) m  ^) X4 ^
改名为其它的名字,如:改为FileSystemObject_3800  ^) x0 {) r. a4 v& ?5 f
自己以后调用的时候使用这个就可以正常调用此组件了.6 u; R  e) }( m$ F) Z7 J% {3 U- q
2.也要将clsid值也改一下
6 }0 ]+ ~2 {: U/ w& oHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
7 Y5 p6 s) m6 O# x+ d  W9 |可以将其删除,来防止此类木马的危害.# E; _5 n6 z6 B8 ~( T$ S3 g! \
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
4 _% a, U" F7 _$ I9 h2 w如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
) l! [) h3 b$ ~4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
: i$ d  j; Q8 P5 b) \cacls C:\WINNT\system32\scrrun.dll /e /d guests9 e7 a% s8 X1 M  K8 r
8 o7 d! j: H1 i5 F0 @

) w8 Q6 J1 S1 W% I- U5 e' \1 [二.使用WScript.Shell组件
6 E4 X: G" C# Z( [5 O& P0 |

3 z7 \5 [) }, G0 V0 J9 q6 O: K1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
: g: T+ x" Q/ J0 h& E) w6 i9 R% @, @$ e* c- l
HKEY_CLASSES_ROOT\WScript.Shell\# Z0 g# `4 V0 Q7 j0 E8 O
$ i) Z' M0 n; w' N4 w
HKEY_CLASSES_ROOT\WScript.Shell.1\
; e/ X" L8 }4 n8 w, g改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
) S) \4 X7 H$ p% Z0 [% s3 P3 _自己以后调用的时候使用这个就可以正常调用此组件了1 x+ Z6 Q5 F, g9 k; x& w
0 F2 P8 S& k) ^: S/ b( n0 q9 {
2.也要将clsid值也改一下, Q. H/ W; Y  ?" _/ s
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值; _0 e) }3 }$ w6 z4 v& {3 I; }
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值& u+ _) n$ ?1 \, m% m* l0 d- K
也可以将其删除,来防止此类木马的危害。. S  I4 o- @0 V

% y; M, A; M% {/ @/ i* t/ F5 V三.使用Shell.Application组件# i  Q7 F2 y1 X7 K8 x' e

+ X+ W* {. e- u1 k; T: w9 t1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
: T  ]$ o4 w1 P$ a5 eHKEY_CLASSES_ROOT\Shell.Application\) Y9 U: T+ d, G7 \& Z: J
& b1 b! A- M8 |8 u8 N, R/ a
HKEY_CLASSES_ROOT\Shell.Application.1\
5 c& t: p+ p2 f, w# w) ]改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName7 ^( y6 j# ^9 v1 y* b
自己以后调用的时候使用这个就可以正常调用此组件了
6 `9 M3 A/ I* l2.也要将clsid值也改一下: i5 M) |) Q6 c" j7 N; t
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值. ?1 U$ @; o% x* p: @# Z( Y* q( m
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值, P; O% |/ \$ T
也可以将其删除,来防止此类木马的危害。+ G5 Z; z1 i$ i7 Q+ F* u6 z# t5 X- Z

0 g: B- x; X; _6 w, r3 X3.禁止Guest用户使用shell32.dll来防止调用此组件命令:4 u) D) |' s% x6 @* M9 j; a
cacls C:\WINNT\system32\shell32.dll /e /d guests  j. x! ~* Y( @  x# H

* E# K+ E3 I" z四.调用cmd.exe9 H/ i; ]3 C& Z$ {% @
' W6 T  v0 i" E" ]' X, ]
禁用Guests组用户调用cmd.exe命令:
# }0 u+ a* S  t0 kcacls C:\WINNT\system32\Cmd.exe /e /d guests
' T: F8 P  D: f& @3 R  ^8 g5 n4 N+ u

$ W2 o( ^. R8 \7 @7 L" D
; t- w5 P& \& H- h五.其它危险组件处理:& S+ W$ t' S  F0 C& i7 H  \

4 S! R$ O+ L& I( g' BAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) . u" {+ |: L/ g1 P# z
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)& d( @% _  |6 l  k5 C  I# E
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
, h- s. S0 u5 k5 u
* Y9 T! x" f2 Q5 a
, f! L4 d) C- s" I% p3 R. }
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
  F0 c% l- Z  ]! f
7 {+ W6 H; I& @6 @PS:有时间把图加上去,或者作个教程
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

谢谢楼主分享技术。。

TOP

发点图比较容易吸收。。:lol    不过这样也行。

TOP

学习了……:D

TOP

哦 学习了  知己知彼方能。。。。:)
10字节写啥

TOP

有控发点图上来对比下
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

我本机测试了下! u0 e: N! _7 d( a( [6 Y. u

( ~" y2 n' E$ E- E; F8 c0 m如果更改了相应的组件之后,ASP木马就完全打不开了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

返回列表