【3.A.S.T】网络安全爱好者's Archiver

黑客学习

柔肠寸断 发表于 2008-11-3 21:38

服务器如何防范ASP木马进一步的侵蚀

[quote]很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看[/quote] i`B)tH$["PY
'] Z-~6wQ#uM1c~
[b]原创作者:柔肠寸断 【3.A.S.T】([/b][url=http://www.3ast.com.cn][b]http://www.3ast.com.cn[/b][/url][b])[/b]gl4o Z4?b7h-[}Z
[b]信息来源:3.A.S.T网络安全技术团队[/b]j'U-WoUW"H+F
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.`Xr%^1U
FileSystemObject组件---对文件进行常规操作.
3n f-U#dp3@f.A WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Rov mVP Shell.Application组件--可以调用系统内核运行DOS基本命令.
r&[,\S| S-F? +lr#^ ^ P
[b]一.使用FileSystemObject组件[/b]_"N7pc)ER
[quote]
8l2u])j@L\ 1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.%Q8aBTX3f H(z
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\S c@-M.q
改名为其它的名字,如:改为FileSystemObject_3800K;}1Uc/R8_!u:? P$m0p
自己以后调用的时候使用这个就可以正常调用此组件了.
C}o g3U+a^ 2.也要将clsid值也改一下_8y;S8A U9IS/L
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值 vR+o,q)N]{
可以将其删除,来防止此类木马的危害. ^G)xH#oz J+bf$_U
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
+]})^@u2wb7Vx 如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件-k@3[+]3e
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
vn-qh_)~{iV cacls C:\WINNT\system32\scrrun.dll /e /d guestsr#x7{W*IChTp
[/quote]7A.j(R&}~#a}'aT0s
!N k+}n;z;R~(^7y oI
[b]二.使用WScript.Shell组件[/b]
5q#?'R:_V!l [quote]
k+X4i q/a:ay;r O 1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.^ U&zOr6y9x
~Rd x7H!W
HKEY_CLASSES_ROOT\WScript.Shell\
.yJ|2e4f'PT
5d@.g;R os| HKEY_CLASSES_ROOT\WScript.Shell.1\
E_M9K ke;A 改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800ccAo6x:S r$g
自己以后调用的时候使用这个就可以正常调用此组件了6vFxo/[:z.]|

g%~*f*Q Tc| 2.也要将clsid值也改一下{s@6U#G'qSmoe {
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
M.C:h+Nwe6q HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值1f1v'U Hz3?
也可以将其删除,来防止此类木马的危害。
HGR)C#Bfcc8~._cZ [/quote]
pt N0wIbkI#a [b]三.使用Shell.Application组件[/b]cJ0TAb
[quote] 9Bi0e a:W%E#\
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
U/G+K'cUZU7W O HKEY_CLASSES_ROOT\Shell.Application\&P;y[R+\ _

4a M3A2J+d0?c7]%hu HKEY_CLASSES_ROOT\Shell.Application.1\
~&f ~$RS vRy 改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
nh'bh1b+?e6P 自己以后调用的时候使用这个就可以正常调用此组件了
8ku&V]zv 2.也要将clsid值也改一下
L3UJ"V7q%uNB.B HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值OpM2j,t;Bp+ZS&pI B
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值D;t2bb3m;G
也可以将其删除,来防止此类木马的危害。3a!zT3}0HRQEs
I s#Sz;V
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:/n KN)e$~2pC7`,d
cacls C:\WINNT\system32\shell32.dll /e /d guestsm#A zE T#B `'D
[/quote]:\ol~ | j)z
[b]四.调用cmd.exe[/b]m.@j rC\
[quote] l7sy$?En dm
禁用Guests组用户调用cmd.exe命令:5p+B(f5t!e MIE
cacls C:\WINNT\system32\Cmd.exe /e /d guests z5El4E`
[/quote]
5L7FV6J3M5j%R&Y1H(J|_
Y[e5`;XN8[4W [b]五.其它危险组件处理[/b]:
y?8E+@ {EB6w [quote] g*C[G.] E?)`
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) +q({+uuI"S-x&?p F
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
6w9p^o$Z4Sz;@ y+B$B l WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
.K&F1_[9TZh [/quote])x?/l2Z3Ct+gL

{o-R-T3m#j 按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
f!U8o2q2s S
p_D'SLJA PS:有时间把图加上去,或者作个教程

saitojie 发表于 2008-11-3 21:43

我只是知道这三个组件,但是具体怎么用,还真不知道- -!

柔肠寸断 发表于 2008-11-3 22:08

我本机测试了下9w7C)@{8t/@W2d"i`:a

h?z7y#[ 如果更改了相应的组件之后,ASP木马就完全打不开了

saitojie 发表于 2008-11-3 22:10

有控发点图上来对比下

猪猪 发表于 2008-11-4 08:39

哦 学习了  知己知彼方能。。。。:)

paomo86 发表于 2008-11-4 11:26

学习了……:D

小雄 发表于 2008-12-9 20:31

发点图比较容易吸收。。:lol    不过这样也行。

在意z 发表于 2012-5-16 00:23

谢谢楼主分享技术。。

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.