- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看 ( Y8 a) `6 G7 m' @6 K1 H3 B
3 H" O# I8 w7 `% `3 Z原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
5 }) w5 |" @9 t5 ]信息来源:3.A.S.T网络安全技术团队# ?* ^7 R$ I& d9 k. T. {# f6 }5 G
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.2 W: b% S+ l J: f4 K9 V. U" G c
FileSystemObject组件---对文件进行常规操作. X6 y( G I7 f" d* ?7 ~
WScript.Shell组件---可以调用系统内核运行DOS基本命令.% a1 O" o7 |) n: j; t9 l* g
Shell.Application组件--可以调用系统内核运行DOS基本命令.
8 o C9 D: L) X" a3 ], G6 z% G2 y/ X1 L: @
一.使用FileSystemObject组件
2 g' q( o$ X' x' F* b" a) O
9 x4 L+ S/ N: K7 }* x) C8 h1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
; S' R1 Z) D/ g3 wHKEY_CLASSES_ROOT\Scripting.FileSystemObject\2 b, h) m ^) X4 ^
改名为其它的名字,如:改为FileSystemObject_3800 ^) x0 {) r. a4 v& ?5 f
自己以后调用的时候使用这个就可以正常调用此组件了.6 u; R e) }( m$ F) Z7 J% {3 U- q
2.也要将clsid值也改一下
6 }0 ]+ ~2 {: U/ w& oHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
7 Y5 p6 s) m6 O# x+ d W9 |可以将其删除,来防止此类木马的危害.# E; _5 n6 z6 B8 ~( T$ S3 g! \
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
4 _% a, U" F7 _$ I9 h2 w如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
) l! [) h3 b$ ~4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
: i$ d j; Q8 P5 b) \cacls C:\WINNT\system32\scrrun.dll /e /d guests9 e7 a% s8 X1 M K8 r 8 o7 d! j: H1 i5 F0 @
) w8 Q6 J1 S1 W% I- U5 e' \1 [二.使用WScript.Shell组件
6 E4 X: G" C# Z( [5 O& P0 |
3 z7 \5 [) }, G0 V0 J9 q6 O: K1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
: g: T+ x" Q/ J0 h& E) w6 i9 R% @, @$ e* c- l
HKEY_CLASSES_ROOT\WScript.Shell\# Z0 g# `4 V0 Q7 j0 E8 O
及$ i) Z' M0 n; w' N4 w
HKEY_CLASSES_ROOT\WScript.Shell.1\
; e/ X" L8 }4 n8 w, g改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
) S) \4 X7 H$ p% Z0 [% s3 P3 _自己以后调用的时候使用这个就可以正常调用此组件了1 x+ Z6 Q5 F, g9 k; x& w
0 F2 P8 S& k) ^: S/ b( n0 q9 {
2.也要将clsid值也改一下, Q. H/ W; Y ?" _/ s
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值; _0 e) }3 }$ w6 z4 v& {3 I; }
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值& u+ _) n$ ?1 \, m% m* l0 d- K
也可以将其删除,来防止此类木马的危害。. S I4 o- @0 V
% y; M, A; M% {/ @/ i* t/ F5 V三.使用Shell.Application组件# i Q7 F2 y1 X7 K8 x' e
+ X+ W* {. e- u1 k; T: w9 t1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
: T ]$ o4 w1 P$ a5 eHKEY_CLASSES_ROOT\Shell.Application\) Y9 U: T+ d, G7 \& Z: J
及& b1 b! A- M8 |8 u8 N, R/ a
HKEY_CLASSES_ROOT\Shell.Application.1\
5 c& t: p+ p2 f, w# w) ]改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName7 ^( y6 j# ^9 v1 y* b
自己以后调用的时候使用这个就可以正常调用此组件了
6 `9 M3 A/ I* l2.也要将clsid值也改一下: i5 M) |) Q6 c" j7 N; t
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值. ?1 U$ @; o% x* p: @# Z( Y* q( m
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值, P; O% |/ \$ T
也可以将其删除,来防止此类木马的危害。+ G5 Z; z1 i$ i7 Q+ F* u6 z# t5 X- Z
0 g: B- x; X; _6 w, r3 X3.禁止Guest用户使用shell32.dll来防止调用此组件命令:4 u) D) |' s% x6 @* M9 j; a
cacls C:\WINNT\system32\shell32.dll /e /d guests j. x! ~* Y( @ x# H
* E# K+ E3 I" z四.调用cmd.exe9 H/ i; ]3 C& Z$ {% @
' W6 T v0 i" E" ]' X, ]
禁用Guests组用户调用cmd.exe命令:
# }0 u+ a* S t0 kcacls C:\WINNT\system32\Cmd.exe /e /d guests
' T: F8 P D: f& @3 R ^8 g5 n4 N+ u
$ W2 o( ^. R8 \7 @7 L" D
; t- w5 P& \& H- h五.其它危险组件处理:& S+ W$ t' S F0 C& i7 H \
4 S! R$ O+ L& I( g' BAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) . u" {+ |: L/ g1 P# z
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)& d( @% _ |6 l k5 C I# E
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
, h- s. S0 u5 k5 u * Y9 T! x" f2 Q5 a
, f! L4 d) C- s" I% p3 R. }
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
F0 c% l- Z ]! f
7 {+ W6 H; I& @6 @PS:有时间把图加上去,或者作个教程 |
|