【3.A.S.T】网络安全爱好者 » 原创专区 » 服务器如何防范ASP木马进一步的侵蚀

柔肠寸断 发表于 2008-11-3 21:38

服务器如何防范ASP木马进一步的侵蚀

[quote]很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看[/quote]OK3bv7iHL
pL g"z.Y!L_
[b]原创作者：柔肠寸断 【3.A.S.T】([/b][url=http://www.3ast.com.cn][b]http://www.3ast.com.cn[/b][/url][b])[/b]
!J&L4BpC [b]信息来源：3.A.S.T网络安全技术团队[/b] P([6z9R"B^P#bD(e Bd~O
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.4KW0R#N*M9k
FileSystemObject组件---对文件进行常规操作.
^"Q[0zsb*ns WScript.Shell组件---可以调用系统内核运行DOS基本命令.

R~O'O0?&u1g Shell.Application组件--可以调用系统内核运行DOS基本命令.
!Z0p*P+f']!^o %MJL3Nd%sR E"nuw
[b]一.使用FileSystemObject组件[/b]o&i`3DPk)Z
[quote]
P~3fFbD
[,H2U 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.P0@)PCw{
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\!j'_^eme5u~
改名为其它的名字，如：改为FileSystemObject_3800$E z`+@(W-{
自己以后调用的时候使用这个就可以正常调用此组件了.,@ f:n7B*QY
2.也要将clsid值也改一下
.pWZ%gf/Zco wx HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
r[GwW#o3Qx!? 可以将其删除，来防止此类木马的危害.c$QhZ)[-Si+\6Y
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
$EsA{+q-P'x+SB:v 如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件']9i R b$dE8f
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
Jr3XlQP^'k cacls C:\WINNT\system32\scrrun.dll /e /d guests Cvx4ybP"}g%k
[/quote]C(l'YGR,b
m/WB-kyBb$a0\
[b]二.使用WScript.Shell组件[/b]
,v.O~2v[M)q)f*Y6w [quote]
5D"j ^9EB(P7P 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.c `&r"V]1T.em
vR:m$\+x(Vr
HKEY_CLASSES_ROOT\WScript.Shell\
*q%WBl#aW z8_ 及
0Z*A7p1U'S;^aKP+\n HKEY_CLASSES_ROOT\WScript.Shell.1\
0p%G-]+CR&j[+rO[ 改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc(LT2X#X3c9IR
自己以后调用的时候使用这个就可以正常调用此组件了,z)EYUZ:w'L8^PO

DO(~3pb;nA 2.也要将clsid值也改一下?)miB
Z4Je1^%{w
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值7l%gdkD
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值.y!Z"@{_dI
也可以将其删除，来防止此类木马的危害。
s6X0\ _ U}:^ [/quote]6V#OO5f^Z
[b]三.使用Shell.Application组件[/b]
{L$LoM$T)q} @ [quote] ,Jp?5|%Z2a
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
.H'}`:t%Q#M3J+swZ~ HKEY_CLASSES_ROOT\Shell.Application\
!Q)w:PYIP*K[ 及
[7O,j8_/je HKEY_CLASSES_ROOT\Shell.Application.1\G;Pg.U{w4Ew8]
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
3_E@1Ku$I
Q o 自己以后调用的时候使用这个就可以正常调用此组件了
pw_'xn[.SMHm 2.也要将clsid值也改一下 Y;F+w;Z7L
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 }]M(@F
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值%kR3qvF:\Rs
也可以将其删除，来防止此类木马的危害。y7N0m_sK J

-ye!fv h3P 3.禁止Guest用户使用shell32.dll来防止调用此组件命令:1N]J Z5S0I ]
cacls C:\WINNT\system32\shell32.dll /e /d guestsxP!FN/V8o6c
[/quote]
/j~1e)d} [b]四.调用cmd.exe[/b]
_s+P~&~ A'i [quote]

s L}Lc3n s Cr9rA 禁用Guests组用户调用cmd.exe命令:7X*`9VL)x/\+}v
cacls C:\WINNT\system32\Cmd.exe /e /d guests
j `(p'R9b(~R^-IG)~4h [/quote]
Fjw;Gc :?v3O8hf~ ]
[b]五.其它危险组件处理[/b]: K2_U2@2^\?.Y
[quote]
5z*j.n0H m/N(G Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
Zn:E&F@@-V WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
U-w
cj+RO4X K7b WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
:r+U)Q,V6\+s%` [/quote]'oAQONL
;U hN-iJ7a$x.tt7}
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些. @V0Fkf&[f-^l
5?j_)]W/M
PS:有时间把图加上去，或者作个教程

saitojie 发表于 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断 发表于 2008-11-3 22:08

我本机测试了下
O'L&R&GG\(CE !CH{j`)ty2Ig'E
如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie 发表于 2008-11-3 22:10

有控发点图上来对比下

猪猪 发表于 2008-11-4 08:39

哦 学习了  知己知彼方能。。。。:)

paomo86 发表于 2008-11-4 11:26

学习了……:D

小雄 发表于 2008-12-9 20:31

发点图比较容易吸收。。:lol    不过这样也行。

在意z 发表于 2012-5-16 00:23

谢谢楼主分享技术。。

查看完整版本: 服务器如何防范ASP木马进一步的侵蚀