【3.A.S.T】网络安全爱好者 » 原创专区 » 服务器如何防范ASP木马进一步的侵蚀

柔肠寸断 发表于 2008-11-3 21:38

服务器如何防范ASP木马进一步的侵蚀

[quote]很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看[/quote]
&I;bEf1n/V'?
%EJ0d{'K [b]原创作者：柔肠寸断 【3.A.S.T】([/b][url=http://www.3ast.com.cn][b]http://www.3ast.com.cn[/b][/url][b])[/b]
#B,H-v6SkS [b]信息来源：3.A.S.T网络安全技术团队[/b]
^:lz1i3H4[ 防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
{(kQ)[D;df FileSystemObject组件---对文件进行常规操作.'Qu4t Qs6g/O1T'M
WScript.Shell组件---可以调用系统内核运行DOS基本命令.%qe8R1nA@
Shell.Application组件--可以调用系统内核运行DOS基本命令."aY&S u
w [0E9g
+RC x8`'_R1Zi A3@:`
[b]一.使用FileSystemObject组件[/b]nSI(t&ih]
[quote]
Rh?a4E h1LM 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
W^2]~N:~ HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
'JS5^2d
]#}9E 改名为其它的名字，如：改为FileSystemObject_3800|7nwK3n7Hw8a
自己以后调用的时候使用这个就可以正常调用此组件了.
| ]&W~3I-m 2.也要将clsid值也改一下
DT"@
O^9U HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
7|!XvF1n 可以将其删除，来防止此类木马的危害.s6F|DY7io
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  )W3~2k3L[&m r `
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件2j D6@It
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:3\8Y(Aj8U(I8s-sx)~
cacls C:\WINNT\system32\scrrun.dll /e /d guests
+|h3R.`{C)p&\ [/quote]
`i
Z8th"gYz~hs xSg\$i&\
[b]二.使用WScript.Shell组件[/b]6l ~|]&?p
[quote] 5s*]/Ip? ^7O]dDY
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
(B/zD_kv*| U,vZ6EXE'gs4A
HKEY_CLASSES_ROOT\WScript.Shell\
M+r~](GK 及
r~%E
_R^f HKEY_CLASSES_ROOT\WScript.Shell.1\
/y%|${P'M#gC+m 改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
uYXjQOP 自己以后调用的时候使用这个就可以正常调用此组件了
$K\9vV{y[j8V
Sx)C%I^'c 2.也要将clsid值也改一下
g0g[3f1X1]9Z-@*o5a8q HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值1[8M;}+i&^`
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
{h N5q q0Q 也可以将其删除，来防止此类木马的危害。@;y@.OV+GV"D
[/quote]
Ph ];R$G$Nn-B!S%?(g [b]三.使用Shell.Application组件[/b]]G7T'?F0| y-X
[quote]
Mb7v4mSY;Y0PDK 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。5g5lvF8L8R0I
HKEY_CLASSES_ROOT\Shell.Application\M)Mm-u8R3^P7b {V
及$ul3@3aD!Pn;V]*G
HKEY_CLASSES_ROOT\Shell.Application.1\
n`DJV 改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeNameZg,FS,ti
自己以后调用的时候使用这个就可以正常调用此组件了 G2iq\uS*x(I
2.也要将clsid值也改一下yJ$L#t1aJ4A6C
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
+KYU1Bd*[g2[U;@ HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
6h8zD;Bd{ 也可以将其删除，来防止此类木马的危害。
3i:ehER.i6pWn
Q5I9ZC'E$s~6|!eJb 3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
5so[T b[y)so cacls C:\WINNT\system32\shell32.dll /e /d guests
H4SG:]&Z [/quote](fzTJAr9}SRK
[b]四.调用cmd.exe[/b]
~F ?*Q.i,MuG-w@ [quote]
)PM)i6s_S@']&i 禁用Guests组用户调用cmd.exe命令:
`E9AHrx`0MN cacls C:\WINNT\system32\Cmd.exe /e /d guests er;dZ"~
[/quote]t ]KnF1f+Z
Vy0BJ?;Y9r
[b]五.其它危险组件处理[/b]:_ J MSCt*b _
[quote]
)Y({{8F?*s Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) q/ULF[)`7U?0l0mL
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)!|"oFW!X\
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
B,G"i8_/yzUr+K [/quote]
g%eY,\zNOwx
`c4G ]oZ!g$M H 按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
QXXSAc K |S a
X5IWS;L&{
PS:有时间把图加上去，或者作个教程

saitojie 发表于 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断 发表于 2008-11-3 22:08

我本机测试了下
T%X8i2Y0a:aU4X#s :C:Xac'_:O2[4s
如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie 发表于 2008-11-3 22:10

有控发点图上来对比下

猪猪 发表于 2008-11-4 08:39

哦 学习了  知己知彼方能。。。。:)

paomo86 发表于 2008-11-4 11:26

学习了……:D

小雄 发表于 2008-12-9 20:31

发点图比较容易吸收。。:lol    不过这样也行。

在意z 发表于 2012-5-16 00:23

谢谢楼主分享技术。。

查看完整版本: 服务器如何防范ASP木马进一步的侵蚀