返回列表 发帖

[原创文章] 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
, y1 D/ {1 s- m. b$ s! }5 F8 P1 R& T
- @9 k7 R# A  G; L4 h- V
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn), R, C6 `5 L2 J9 `- U
信息来源:3.A.S.T网络安全技术团队
+ H; }2 K4 Z, ~防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.% z4 L" x& {# i8 L4 K  r
FileSystemObject组件---对文件进行常规操作.
7 {! _3 d* t; b2 H1 m5 vWScript.Shell组件---可以调用系统内核运行DOS基本命令.
% m& ?$ z1 O  N& oShell.Application组件--可以调用系统内核运行DOS基本命令.
6 z8 @3 a0 M+ s5 i- M3 ]7 w
! K5 r" T! w# g0 `2 @3 W$ T# P! T一.使用FileSystemObject组件' S2 }; ~8 V) {$ q+ A6 ~$ n  E
$ N8 P5 b7 x% `3 E, f1 O2 F
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
% s; O9 Y/ G/ S6 t; h7 mHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
! ~+ |& N$ k+ m7 c. W2 [改名为其它的名字,如:改为FileSystemObject_3800
$ ^6 R. j$ B% y自己以后调用的时候使用这个就可以正常调用此组件了.- i) E$ D. _5 X- W  r* I' [4 y/ K
2.也要将clsid值也改一下& N+ H  ~" x2 U8 e! H  [* I1 f( _
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
" a5 n; J0 C2 n. l! {* ~: T+ s; J可以将其删除,来防止此类木马的危害.
  S6 P- X$ n, g% n* e: [3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
( s" B. u0 J$ T如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件4 Z9 i, u& u5 \2 S$ L% W
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
3 q* w, ?0 n, W0 Fcacls C:\WINNT\system32\scrrun.dll /e /d guests. _% ?3 s: o/ V! |

, a& Y% @  W5 O7 k& J' N) A
& y3 Y" s; z% W: a二.使用WScript.Shell组件
3 y4 O1 b: w9 E5 @
' `5 ?% n! p- C) ]% Q/ i& J
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
5 ~5 X  ~' W/ `( w+ l) w# c3 w2 D  |% K) F
HKEY_CLASSES_ROOT\WScript.Shell\
1 Q1 v' R5 F! i/ H* n4 U! e, R. t2 K; P: L. u
HKEY_CLASSES_ROOT\WScript.Shell.1\7 V. i8 g/ s, ?! B( P) B, X+ W. s
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc2 Y! d; R, A- J1 B7 j; @& _
自己以后调用的时候使用这个就可以正常调用此组件了9 F2 R9 p, \' o$ O  F  C% [- r" A

: j" e7 W) m2 V9 g" T7 R* I2.也要将clsid值也改一下
5 i; g1 o" I3 f4 e0 C, WHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
4 q& x- `1 t0 v# bHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
7 W( U. W% ^, I8 \, }也可以将其删除,来防止此类木马的危害。
  B# `# F" V- v0 E( k- |
$ M; _, O8 W9 A8 q
三.使用Shell.Application组件
( E) n) a# n# H. S" D
# s( D  L% y9 O( }+ u2 C
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
! @" ]$ A8 l; l; a. {; f* D' {8 ]HKEY_CLASSES_ROOT\Shell.Application\
) G. |1 J, U+ |! h# D" b* K
/ i$ ]! S! H; n5 O( uHKEY_CLASSES_ROOT\Shell.Application.1\# \8 M9 q, l9 z3 i: {: a' J$ z
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName6 @) B) \! k0 w' p2 y" B: Q3 w8 S, {
自己以后调用的时候使用这个就可以正常调用此组件了  l4 w3 t$ z* b6 r7 d# r" a
2.也要将clsid值也改一下
' P; X6 ]1 l9 K. tHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值2 B8 h* D9 n; \$ H5 O' e# O# J
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
# l9 Y' |) Q8 ]& \( g也可以将其删除,来防止此类木马的危害。0 M2 n2 Y& L, w2 S3 L/ v

8 j: f" S  A. L* w* l7 Y0 p, d* k3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
) ?& `4 d0 ~) {) i$ C# o! A' T% E* hcacls C:\WINNT\system32\shell32.dll /e /d guests: j+ p, j# p% I+ L
8 k" v$ p. Q7 |0 j% R0 g( B
四.调用cmd.exe& u6 I7 d2 |7 h6 q1 x

' p' h6 k, {* p* o2 p3 @' e禁用Guests组用户调用cmd.exe命令:
# h9 x# q) w, D* j5 lcacls C:\WINNT\system32\Cmd.exe /e /d guests
0 G* p1 I" O- m3 q9 K/ f) ~

1 w' e5 H# w2 w$ y* X1 A7 m. u2 Y, E
五.其它危险组件处理:# _' D& ^+ k% W* u  j
- }0 x, l' k8 v9 ?, d* M8 T, a* h
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) % b9 ^: z0 L- S5 Z
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)0 m1 I; M$ K! f1 M( [4 H. j" Y3 t
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
8 j  K- O! s5 p+ E( r6 r
; n8 Y! w+ H' I* H7 I

5 N6 \$ Q; @0 I( x+ C# _5 |' v按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.% T% N/ i" d# _( Z0 @! \

$ ~0 {, x3 a2 J; oPS:有时间把图加上去,或者作个教程
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

我本机测试了下/ T2 m  |$ F8 I; h7 M! k. X8 ~

( }) L- b$ l" A/ }如果更改了相应的组件之后,ASP木马就完全打不开了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

有控发点图上来对比下
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

哦 学习了  知己知彼方能。。。。:)
10字节写啥

TOP

学习了……:D

TOP

发点图比较容易吸收。。:lol    不过这样也行。

TOP

谢谢楼主分享技术。。

TOP

返回列表