【3.A.S.T】网络安全爱好者 » 原创专区 » 服务器如何防范ASP木马进一步的侵蚀

柔肠寸断 发表于 2008-11-3 21:38

服务器如何防范ASP木马进一步的侵蚀

[quote]很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看[/quote]
0r8i }cM:{ .e@'L
U2JS"l
k.c
?
[b]原创作者：柔肠寸断 【3.A.S.T】([/b][url=http://www.3ast.com.cn][b]http://www.3ast.com.cn[/b][/url][b])[/b]L$Ni!{bE
[b]信息来源：3.A.S.T网络安全技术团队[/b]5ih)F&?(}J5Rz
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
Nr9Vxqya
h FileSystemObject组件---对文件进行常规操作.j8Z]+IxW
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
4w,u6B#G [$h2b Shell.Application组件--可以调用系统内核运行DOS基本命令.YH0qpJk?

8^Qt/f%I Yv2D8z [b]一.使用FileSystemObject组件[/b]
0Rzr,GV [quote]
B$q)p;El!WO 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.B@4s.QpB;@-e2x
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
ux#t%I,ly 改名为其它的名字，如：改为FileSystemObject_3800
oU:UAo#T(o'eA"}
自己以后调用的时候使用这个就可以正常调用此组件了.
Kr^2E|]7R 2.也要将clsid值也改一下
J|'EyuU-gA5l HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值1qf#C5Y9A$Os
可以将其删除，来防止此类木马的危害.
%Y!l!\c~(Rc 3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  1R7a1^6|-],H2F:u
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
yS6}IPE s7n,} 4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
7] o8_,K2zSf cacls C:\WINNT\system32\scrrun.dll /e /d guests+jgp i,]p.{.d
[/quote]
9i!TO4CoJ2~Uz $eoR)k?W(g`
[b]二.使用WScript.Shell组件[/b]
\I'T,}*CWc5IC [quote]
)|v-oa*H!R 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.*b)dG&} O-?Z
hm)~;[9Mz V
HKEY_CLASSES_ROOT\WScript.Shell\

b6k"T/so X 及
Dd+~(Ma&R1Y'N_ HKEY_CLASSES_ROOT\WScript.Shell.1\,w.q5]fn
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
0i2ifT;Qo
Y1j
A nM(Z 自己以后调用的时候使用这个就可以正常调用此组件了
a^|!m3D
+yg] P1@ g%[ 2.也要将clsid值也改一下%gE7JxP&]#j2}/Q \
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值7l6y$V
A NM;|
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
zSGRA H*h;|"Tn 也可以将其删除，来防止此类木马的危害。
kxb%Yx"I [/quote]9rV v8A^.ik"\.s^7]
[b]三.使用Shell.Application组件[/b]
r`YN*w'H [quote]
_8_$E]1e7Y%r? 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。W"z\4T#voP5C
HKEY_CLASSES_ROOT\Shell.Application\
v)hHb{8D |uY h 及
1V;Tn K-P HKEY_CLASSES_ROOT\Shell.Application.1\6W!^ n4H.F{x}
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName|%v*J ayg w V
自己以后调用的时候使用这个就可以正常调用此组件了e"W~7yNgJ-V
2.也要将clsid值也改一下
D4UG+?(d)Z-E5{@D\ HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值1c7I-RFm[ g!U4v'w
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值2nU)}j7ny_h
k8_%I
也可以将其删除，来防止此类木马的危害。
%FS{[?*W)\M7S jk j)e4H*_9?qz S
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:0M~AZ0z~9X)U9E
X
cacls C:\WINNT\system32\shell32.dll /e /d guests
@H/?'B?)N} [/quote]-x5k%aW1G4U
[b]四.调用cmd.exe[/b]
o3~!g9S ]"FZ8|7I [quote]
I_qX&Y_'w 禁用Guests组用户调用cmd.exe命令:yrp,NK}s
cacls C:\WINNT\system32\Cmd.exe /e /d guests
T;F%in4h [/quote]2H8Z H%Wv$}8S(x
e,T!_fC'`T
[b]五.其它危险组件处理[/b]:
*H;\PK-C9V%@ [quote]
-g4K$`K-^)i Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) /JJP!Uh7Qf{
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74))vZD!l4Oi
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
} y R e SO:_j [/quote]
-bJ.Z&V3icTd 'pBS+yj[:XS&K
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.+O/W
B oQa1?:{!w3{.]

}(`:^ n/s3n"j PS:有时间把图加上去，或者作个教程

saitojie 发表于 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断 发表于 2008-11-3 22:08

我本机测试了下
xJ/w*R%}*L !Irg9bzWu{ddm3@
如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie 发表于 2008-11-3 22:10

有控发点图上来对比下

猪猪 发表于 2008-11-4 08:39

哦 学习了  知己知彼方能。。。。:)

paomo86 发表于 2008-11-4 11:26

学习了……:D

小雄 发表于 2008-12-9 20:31

发点图比较容易吸收。。:lol    不过这样也行。

在意z 发表于 2012-5-16 00:23

谢谢楼主分享技术。。

查看完整版本: 服务器如何防范ASP木马进一步的侵蚀