【3.A.S.T】网络安全爱好者 » 原创专区 » 服务器如何防范ASP木马进一步的侵蚀

柔肠寸断 发表于 2008-11-3 21:38

服务器如何防范ASP木马进一步的侵蚀

[quote]很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看[/quote] D%?7Qb$BR

-VD.UXdSG [b]原创作者：柔肠寸断 【3.A.S.T】([/b][url=http://www.3ast.com.cn][b]http://www.3ast.com.cn[/b][/url][b])[/b]fE_:s6gX
[b]信息来源：3.A.S.T网络安全技术团队[/b]
[2sA3Aqo.`;K 防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
#eLo7b$HTa!u-Q FileSystemObject组件---对文件进行常规操作.r P5nJrr qY
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
8H6|/B,R}Y6E9Vo Shell.Application组件--可以调用系统内核运行DOS基本命令.&Wx C%L2V d
6i)Sfn8q eY0MY[
[b]一.使用FileSystemObject组件[/b]
:tb;a+H2_/P/NA [quote]
d?3SGv_ 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
0N!].j+VXc U+r HKEY_CLASSES_ROOT\Scripting.FileSystemObject\4n7]2XlV*H`6K6m/ju#O
改名为其它的名字，如：改为FileSystemObject_3800
G.Ar,bFD+Z 自己以后调用的时候使用这个就可以正常调用此组件了.
| ma,V2bUk 2.也要将clsid值也改一下
"^rYVC HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
A&Y'Y*xFz 可以将其删除，来防止此类木马的危害.
!w&b5IBy6I 3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  _e3U!Wg1Z#p5`w
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
v7ns%D;DZ&Q;Ba 4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
3P0|8q+q.k0F cacls C:\WINNT\system32\scrrun.dll /e /d guestsO G7h%T;V;Z
[/quote]| ^O(Or8u,FH9v

G6~;P3y0g:x [b]二.使用WScript.Shell组件[/b]
? wb.Cnz b*rW [quote] bGLr)K(R(g
S#Y7b
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害..P'me.~-b.jG d D&L

:|+K5LCr0j)tV HKEY_CLASSES_ROOT\WScript.Shell\)VA1lrq0e'r
及
"HH|ZM HKEY_CLASSES_ROOT\WScript.Shell.1\
X5a|iQPp q_
[ 改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc6f:MTG4Xq
自己以后调用的时候使用这个就可以正常调用此组件了
e%eqp#h]t5T_ %py MTK oCE"x6u
2.也要将clsid值也改一下*_#|pRTz
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值(l5`cMf ]2P'{
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
8vU*c
^f 也可以将其删除，来防止此类木马的危害。Q |i|g ? b
[/quote]
] Kz5e
Ys^2wT;WN-k [b]三.使用Shell.Application组件[/b]
l
tm|5le
[quote] +Sd:am1Z
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
h$K3UkJ/`(lo HKEY_CLASSES_ROOT\Shell.Application\
J*f{^@
R1Kf 及I? ]Mt!D6\)|6]
HKEY_CLASSES_ROOT\Shell.Application.1\;^~
\j
ZN*mV:BG
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
xb5JUn![|BdA 自己以后调用的时候使用这个就可以正常调用此组件了
[P3AE B;S1VP 2.也要将clsid值也改一下
S%s#H;OX0e6aos*~ P!S"C HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
9h.n]
_#w:Tg HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
pL$gL n)J)} 也可以将其删除，来防止此类木马的危害。[/Q!O(BS)YP

2N(\2Ki$S#s 3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
.?$@_%Py cacls C:\WINNT\system32\shell32.dll /e /d guests
Aa~hoM [/quote]
(JftMD]0])F0y [b]四.调用cmd.exe[/b] EZ(X)Fty
[quote]
f|8JW]1P*N| 禁用Guests组用户调用cmd.exe命令:)]!ge4x jh
{
cacls C:\WINNT\system32\Cmd.exe /e /d guestsox6{m0U s4Bz
[/quote]
4KLr'?(T1f;f0e 0_:w;?ii7In
[b]五.其它危险组件处理[/b]:-d)i;m't |3?Q
[quote]
v!PE[.@%RtG
I Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
Y2XV
Q,mH%} G?/L3c WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)}YK*sSkD"N*F
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)&H'HYl5Cw&\;_8\P
[/quote]
waG.^4A B&[#P c Wi y8Ur9W8A;Yi`[
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.b\s^fm(R

4`_/aK"E PS:有时间把图加上去，或者作个教程

saitojie 发表于 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断 发表于 2008-11-3 22:08

我本机测试了下5Fzq.y"F$v\ x2r*pR

M'HlB)Vl"ZS 如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie 发表于 2008-11-3 22:10

有控发点图上来对比下

猪猪 发表于 2008-11-4 08:39

哦 学习了  知己知彼方能。。。。:)

paomo86 发表于 2008-11-4 11:26

学习了……:D

小雄 发表于 2008-12-9 20:31

发点图比较容易吸收。。:lol    不过这样也行。

在意z 发表于 2012-5-16 00:23

谢谢楼主分享技术。。

查看完整版本: 服务器如何防范ASP木马进一步的侵蚀