- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看 , y1 D/ {1 s- m. b$ s! }5 F8 P1 R& T
- @9 k7 R# A G; L4 h- V
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn), R, C6 `5 L2 J9 `- U
信息来源:3.A.S.T网络安全技术团队
+ H; }2 K4 Z, ~防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.% z4 L" x& {# i8 L4 K r
FileSystemObject组件---对文件进行常规操作.
7 {! _3 d* t; b2 H1 m5 vWScript.Shell组件---可以调用系统内核运行DOS基本命令.
% m& ?$ z1 O N& oShell.Application组件--可以调用系统内核运行DOS基本命令.
6 z8 @3 a0 M+ s5 i- M3 ]7 w
! K5 r" T! w# g0 `2 @3 W$ T# P! T一.使用FileSystemObject组件' S2 }; ~8 V) {$ q+ A6 ~$ n E
$ N8 P5 b7 x% `3 E, f1 O2 F
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
% s; O9 Y/ G/ S6 t; h7 mHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
! ~+ |& N$ k+ m7 c. W2 [改名为其它的名字,如:改为FileSystemObject_3800
$ ^6 R. j$ B% y自己以后调用的时候使用这个就可以正常调用此组件了.- i) E$ D. _5 X- W r* I' [4 y/ K
2.也要将clsid值也改一下& N+ H ~" x2 U8 e! H [* I1 f( _
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
" a5 n; J0 C2 n. l! {* ~: T+ s; J可以将其删除,来防止此类木马的危害.
S6 P- X$ n, g% n* e: [3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
( s" B. u0 J$ T如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件4 Z9 i, u& u5 \2 S$ L% W
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
3 q* w, ?0 n, W0 Fcacls C:\WINNT\system32\scrrun.dll /e /d guests. _% ?3 s: o/ V! |
, a& Y% @ W5 O7 k& J' N) A
& y3 Y" s; z% W: a二.使用WScript.Shell组件
3 y4 O1 b: w9 E5 @ ' `5 ?% n! p- C) ]% Q/ i& J
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
5 ~5 X ~' W/ `( w+ l) w# c3 w2 D |% K) F
HKEY_CLASSES_ROOT\WScript.Shell\
1 Q1 v' R5 F! i/ H* n及4 U! e, R. t2 K; P: L. u
HKEY_CLASSES_ROOT\WScript.Shell.1\7 V. i8 g/ s, ?! B( P) B, X+ W. s
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc2 Y! d; R, A- J1 B7 j; @& _
自己以后调用的时候使用这个就可以正常调用此组件了9 F2 R9 p, \' o$ O F C% [- r" A
: j" e7 W) m2 V9 g" T7 R* I2.也要将clsid值也改一下
5 i; g1 o" I3 f4 e0 C, WHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
4 q& x- `1 t0 v# bHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
7 W( U. W% ^, I8 \, }也可以将其删除,来防止此类木马的危害。
B# `# F" V- v0 E( k- | $ M; _, O8 W9 A8 q
三.使用Shell.Application组件
( E) n) a# n# H. S" D # s( D L% y9 O( }+ u2 C
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
! @" ]$ A8 l; l; a. {; f* D' {8 ]HKEY_CLASSES_ROOT\Shell.Application\
) G. |1 J, U+ |! h# D" b* K及
/ i$ ]! S! H; n5 O( uHKEY_CLASSES_ROOT\Shell.Application.1\# \8 M9 q, l9 z3 i: {: a' J$ z
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName6 @) B) \! k0 w' p2 y" B: Q3 w8 S, {
自己以后调用的时候使用这个就可以正常调用此组件了 l4 w3 t$ z* b6 r7 d# r" a
2.也要将clsid值也改一下
' P; X6 ]1 l9 K. tHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值2 B8 h* D9 n; \$ H5 O' e# O# J
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
# l9 Y' |) Q8 ]& \( g也可以将其删除,来防止此类木马的危害。0 M2 n2 Y& L, w2 S3 L/ v
8 j: f" S A. L* w* l7 Y0 p, d* k3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
) ?& `4 d0 ~) {) i$ C# o! A' T% E* hcacls C:\WINNT\system32\shell32.dll /e /d guests: j+ p, j# p% I+ L 8 k" v$ p. Q7 |0 j% R0 g( B
四.调用cmd.exe& u6 I7 d2 |7 h6 q1 x
' p' h6 k, {* p* o2 p3 @' e禁用Guests组用户调用cmd.exe命令:
# h9 x# q) w, D* j5 lcacls C:\WINNT\system32\Cmd.exe /e /d guests
0 G* p1 I" O- m3 q9 K/ f) ~
1 w' e5 H# w2 w$ y* X1 A7 m. u2 Y, E
五.其它危险组件处理:# _' D& ^+ k% W* u j
- }0 x, l' k8 v9 ?, d* M8 T, a* h
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) % b9 ^: z0 L- S5 Z
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)0 m1 I; M$ K! f1 M( [4 H. j" Y3 t
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
8 j K- O! s5 p+ E( r6 r ; n8 Y! w+ H' I* H7 I
5 N6 \$ Q; @0 I( x+ C# _5 |' v按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.% T% N/ i" d# _( Z0 @! \
$ ~0 {, x3 a2 J; oPS:有时间把图加上去,或者作个教程 |
|