【3.A.S.T】网络安全爱好者 » 原创专区 » 服务器如何防范ASP木马进一步的侵蚀

柔肠寸断 发表于 2008-11-3 21:38

服务器如何防范ASP木马进一步的侵蚀

[quote]很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看[/quote]{ {6R-j/Ed9HC

6Fx| ?GDUC [b]原创作者：柔肠寸断 【3.A.S.T】([/b][url=http://www.3ast.com.cn][b]http://www.3ast.com.cn[/b][/url][b])[/b]J| V"v;RNuB
[b]信息来源：3.A.S.T网络安全技术团队[/b]
S;]!gvuMMtw 防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
}s(~_k;} FileSystemObject组件---对文件进行常规操作.
Y{^9JNg)Cl{ WScript.Shell组件---可以调用系统内核运行DOS基本命令.(vV1y&@fh
Shell.Application组件--可以调用系统内核运行DOS基本命令.O_ai,b1u5~%Q?

`km$_|.F\ [b]一.使用FileSystemObject组件[/b]V+l;[noPw
[quote]
-VRYB;W
UY 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.5X2mwkH
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ c o{VG
改名为其它的名字，如：改为FileSystemObject_3800 ZxG\/k7c(T-U
自己以后调用的时候使用这个就可以正常调用此组件了.5P;ruK N;z
2.也要将clsid值也改一下
S~h7d[;E!n HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值

W;n9x.T$_tyv 可以将其删除，来防止此类木马的危害.w!c2[&Sig
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
z\Iq4c,{ 如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
S$r*_7`)wz` ^ 4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
,l+t5k
l t3[`f/Z cacls C:\WINNT\system32\scrrun.dll /e /d guests
'W%}z6V/i
J6v [/quote]2ES-l\s/B
o(Y6g2Sv6^8pvzBO
[b]二.使用WScript.Shell组件[/b]0`1D&g:G|'k:e
[quote]
$]8w1f3^)} ]w!G 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.[O"FC3qS0v5@

s~&T['L
y\ HKEY_CLASSES_ROOT\WScript.Shell\,d5Xi1e4T6|2?0CV's/Y
及
.E[S[cS3EXb HKEY_CLASSES_ROOT\WScript.Shell.1\&E&Q
nHG
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
*KL&o"C TH,h 自己以后调用的时候使用这个就可以正常调用此组件了
)@T0b2n(Z.n&c.z0gD 0Y1g_u#y*A
2.也要将clsid值也改一下
xYj"x'JKd*bR0P+V HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
Uv`u6g OD HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
R9I*c2z7s5p1[ 也可以将其删除，来防止此类木马的危害。#D]YT({[ k-[p
[/quote]NVQ+U6q:z"BQ4t
[b]三.使用Shell.Application组件[/b]m4iocW,e#J8_
[quote]
9X.NJ\+?p"j 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。 e)za8D~1n o'E#A
HKEY_CLASSES_ROOT\Shell.Application\
/o!JcT hZw@m 及 Ax DX,g~/L,N
HKEY_CLASSES_ROOT\Shell.Application.1\2qBX&h'}!wza4S
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
l C-[;`mis LA,? 自己以后调用的时候使用这个就可以正常调用此组件了$u,ma?-dAx~&T
2.也要将clsid值也改一下
\~%ZN f"]1[4_
v HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
\rk*{A!t HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值d!~;`8pf
也可以将其删除，来防止此类木马的危害。.r*M5r4K7kk6rUwb
6w{y8Xp2fmV
3.禁止Guest用户使用shell32.dll来防止调用此组件命令: d'y/fw)j1b`
cacls C:\WINNT\system32\shell32.dll /e /d guests
6];m:pH |C~,x [/quote]_A4a0D,lO%oW:Z5b
[b]四.调用cmd.exe[/b]
e+ax{X [quote]
2N4~5}oP`9@} 禁用Guests组用户调用cmd.exe命令:
s*o+ZU/I4hx7@a dV cacls C:\WINNT\system32\Cmd.exe /e /d guests
(GKFf'tu?8NVJ [/quote]'\bB)Ur{Q

b3ew%i|D
A][%knD [b]五.其它危险组件处理[/b]:
*C"r$FO~RZ*J#G [quote] 'oI~$\ DSOQ
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
o9t!S.d N/I(?7[ WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
F}$ig2Oba WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
/[2[(O7|
Z%Nd zz x [/quote],CggPMC
qQ

%p(Y vh8X,h'G*EV5s 按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.3EFrr3oH7M

f}b+J,?H PS:有时间把图加上去，或者作个教程

saitojie 发表于 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断 发表于 2008-11-3 22:08

我本机测试了下Ee D.w b%_
&L!Hdh0P
如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie 发表于 2008-11-3 22:10

有控发点图上来对比下

猪猪 发表于 2008-11-4 08:39

哦 学习了  知己知彼方能。。。。:)

paomo86 发表于 2008-11-4 11:26

学习了……:D

小雄 发表于 2008-12-9 20:31

发点图比较容易吸收。。:lol    不过这样也行。

在意z 发表于 2012-5-16 00:23

谢谢楼主分享技术。。

查看完整版本: 服务器如何防范ASP木马进一步的侵蚀