【3.A.S.T】网络安全爱好者's Archiver

黑客学习

柔肠寸断 发表于 2008-11-3 21:38

服务器如何防范ASP木马进一步的侵蚀

[quote]很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看[/quote] T,k)r p5B7d7e[1?

&E,h8B0N,j(t8~ [b]原创作者:柔肠寸断 【3.A.S.T】([/b][url=http://www.3ast.com.cn][b]http://www.3ast.com.cn[/b][/url][b])[/b] u Ro9it1a
[b]信息来源:3.A.S.T网络安全技术团队[/b]
%e:r+a ? H*S 防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.*{hE$m2\m
FileSystemObject组件---对文件进行常规操作.jM3K XG
WScript.Shell组件---可以调用系统内核运行DOS基本命令.qmJP`0oS
Shell.Application组件--可以调用系统内核运行DOS基本命令.:[OF5P*e z

5G(q&L[*R ] [b]一.使用FileSystemObject组件[/b]
%TpU#Yn [quote]
GN4F"k'j EN8Y 1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.{ks'z:a zu\QD$Z
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
7|p4FA9e3{gG"x4a 改名为其它的名字,如:改为FileSystemObject_3800
Z e$R RB/X4C0W#Zf 自己以后调用的时候使用这个就可以正常调用此组件了.)~8_,S)nO v
2.也要将clsid值也改一下
!E4@NPdj HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值uV_9{%GL C,j
可以将其删除,来防止此类木马的危害.
7pK]*F W 3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
,ii h)w&NUtg 如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件9k!?'|W8Tv(_X7x
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:B8`)B6u})l8t?(o&z)~"l
cacls C:\WINNT\system32\scrrun.dll /e /d guests
2}'Y!y i@4U/]M%R [/quote]
/ZX_o D/a Pd
vec3lC:j/K@B [b]二.使用WScript.Shell组件[/b]
`8c9i{3o_#}@ [quote]
lq%l Y m L#} 1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.kT y;W&] a!_
!`n L#b(MK
HKEY_CLASSES_ROOT\WScript.Shell\\.E$Y%L\p&p y*c3d
gj G}`"x:G
HKEY_CLASSES_ROOT\WScript.Shell.1\C]x5].gC
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cck?!O e3uu3Y R7z,~
自己以后调用的时候使用这个就可以正常调用此组件了 n9{6t].C)l2m

lT5TqZ.XF 2.也要将clsid值也改一下
D1pT&R_)r ip:Y g HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值x |C$PU
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值t2HE8m%KSs
也可以将其删除,来防止此类木马的危害。C:F#wfZT Sdo
[/quote]
o$|(}y#Phc"X4U [b]三.使用Shell.Application组件[/b]
?'X.o P*`B&] [quote]
f^!_7C v 1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
Gsh1mQ$bJv HKEY_CLASSES_ROOT\Shell.Application\
-yqe$TI:k;Y&O,H'h6EM&Km w2K
HKEY_CLASSES_ROOT\Shell.Application.1\6Vlcer,ld;w#p
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
IQ {#Ft9_ 自己以后调用的时候使用这个就可以正常调用此组件了
6YwF#|b1JE 2.也要将clsid值也改一下
C"b&IR;dh)Y HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
+xPR?.mi3]0Y-H HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
^&yF ]O R3j)V-L;Y 也可以将其删除,来防止此类木马的危害。
P4])G0x8\/h4~,S
+IJjY*y k 3.禁止Guest用户使用shell32.dll来防止调用此组件命令:{ j4gM)zqtO
cacls C:\WINNT\system32\shell32.dll /e /d guests~q`5]GP$s
[/quote]&[ TX;c*f @+y
[b]四.调用cmd.exe[/b]
H^F._R3GR G [quote]
%G&_TMaV 禁用Guests组用户调用cmd.exe命令:
%]u7f9H F/[&iI cacls C:\WINNT\system32\Cmd.exe /e /d guests
9_n S v*x^ [/quote]FI#~{,s@ h,E
lF H3JH oc^R
[b]五.其它危险组件处理[/b]:
"p+s;J3h!U1X [quote]
*DO-PF8qtr4T7z,T5R Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
l9LXvVjWW:V WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74) D ~rC0c s C*B1}^
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
5f-^,z(qw [/quote]#vx2hKd
:I mK%X&kw
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.*]7u"J']6`x-R u!J

RE4b_!be4\ PS:有时间把图加上去,或者作个教程

saitojie 发表于 2008-11-3 21:43

我只是知道这三个组件,但是具体怎么用,还真不知道- -!

柔肠寸断 发表于 2008-11-3 22:08

我本机测试了下.l:K%\;_6T+p
%kvn6UIGP ?
如果更改了相应的组件之后,ASP木马就完全打不开了

saitojie 发表于 2008-11-3 22:10

有控发点图上来对比下

猪猪 发表于 2008-11-4 08:39

哦 学习了  知己知彼方能。。。。:)

paomo86 发表于 2008-11-4 11:26

学习了……:D

小雄 发表于 2008-12-9 20:31

发点图比较容易吸收。。:lol    不过这样也行。

在意z 发表于 2012-5-16 00:23

谢谢楼主分享技术。。

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.