【3.A.S.T】网络安全爱好者 » 原创专区 » 服务器如何防范ASP木马进一步的侵蚀

柔肠寸断 发表于 2008-11-3 21:38

服务器如何防范ASP木马进一步的侵蚀

[quote]很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看[/quote]
h2T:aUx3Cqu2`t
z J-m R!VRg$L A [b]原创作者：柔肠寸断 【3.A.S.T】([/b][url=http://www.3ast.com.cn][b]http://www.3ast.com.cn[/b][/url][b])[/b]1QR;QUvv*CrM
[b]信息来源：3.A.S.T网络安全技术团队[/b]~Ffs'KQS4C2q
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.'^k/n? a
FileSystemObject组件---对文件进行常规操作.2t}%hN4cw~
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
3O5b ~&RhccN U6GY Shell.Application组件--可以调用系统内核运行DOS基本命令.
/eks2~-@mQ
eT,w7f.yVc [b]一.使用FileSystemObject组件[/b]
n@4YXo,d&{@o [quote]
emLw:OM'z3p9b
s 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
a]/F!|0W HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
`z|'T$M
c/a:IF1Z 改名为其它的名字，如：改为FileSystemObject_3800
nS_ Vu&W F'vS 自己以后调用的时候使用这个就可以正常调用此组件了.
.c&cS(}byC;v 2.也要将clsid值也改一下Pq D$ez*^H.X;U
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
&c;[0p+IovTg.Y 可以将其删除，来防止此类木马的危害.XF-d dQ&J)?Go
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  #w5Y!iQs"RQ
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
?H~a!e1n.y)~Zff V ^ 4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:|:bHAbFsI c
cacls C:\WINNT\system32\scrrun.dll /e /d guests
k#Wm(cs;OT [/quote]
SI{8K]|!o[$i4f MU*\(x_O:n*N zu-d
[b]二.使用WScript.Shell组件[/b];HhH&Q @/i${(@(^#y
[quote]
2kV:|:gB 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.yEm?g h
i5ii5R
)rYU zzjS#y-u G N
HKEY_CLASSES_ROOT\WScript.Shell\O)bz u s
及
p1p Wf ^ HKEY_CLASSES_ROOT\WScript.Shell.1\ T C7ht-_&k%v"JE
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
r~i;v6vY+r+z 自己以后调用的时候使用这个就可以正常调用此组件了/m@n Wg-`#_Ni
uY6~ aL+i9D
2.也要将clsid值也改一下
^
x v:X \V&Jk HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值0S+wp!U A}O!Ui
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
lY?Y(Ow?0cA 也可以将其删除，来防止此类木马的危害。
&X_9RO"zK+AZ3D [/quote]"~R0Bn(x:KgP+E
[b]三.使用Shell.Application组件[/b]+s)A0O ? GC4]S
[quote]
2G}b/Rvj%_ 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
;J)EQ3g!dY HKEY_CLASSES_ROOT\Shell.Application\
0Q di;`(yL&X,W 及9Y]:VeT Es[%K mG_E
HKEY_CLASSES_ROOT\Shell.Application.1\
\3[g&t:T;r~B)g{7p 改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
8^@*W/gFL-`d 自己以后调用的时候使用这个就可以正常调用此组件了
,P;G GA2zNZ6z5dU 2.也要将clsid值也改一下 k-jE'Y\*Im%}*e
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
i Si"y3n8v9u(V HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
0[k)~0n"|e 也可以将其删除，来防止此类木马的危害。X B2o c3?

*DePmh4U 3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
l0`9h(_%m~DF cacls C:\WINNT\system32\shell32.dll /e /d guests
"n${I.\2Q.FKA [/quote]2b6A0i"A4|
[b]四.调用cmd.exe[/b]
:CTA#R5?m*P1ZW&`? [quote] Q#j$k$axX`;x6pj8S
禁用Guests组用户调用cmd.exe命令:3c4DCQ/v5pyI
cacls C:\WINNT\system32\Cmd.exe /e /d guestsB;r$X:UQ
[/quote]%I"yY1O/v7u|u

B1TD%q x:O!C [b]五.其它危险组件处理[/b]:8U}_4deLu
~j
[quote] VO;}{6UMh6d
rN
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) |s:S$D i`0zD
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)o p,W5Cw(M?jt)w
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
s&H@)B8L*uQ&r*S [/quote]
0gzt!Tlh
`
utSL"R%\ B 按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
W#NsE2H|'S,Y ^5X
7dOH:^:B#W@h PS:有时间把图加上去，或者作个教程

saitojie 发表于 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断 发表于 2008-11-3 22:08

我本机测试了下
-_8Sf2e bZU
&B0BEW(Op2l 如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie 发表于 2008-11-3 22:10

有控发点图上来对比下

猪猪 发表于 2008-11-4 08:39

哦 学习了  知己知彼方能。。。。:)

paomo86 发表于 2008-11-4 11:26

学习了……:D

小雄 发表于 2008-12-9 20:31

发点图比较容易吸收。。:lol    不过这样也行。

在意z 发表于 2012-5-16 00:23

谢谢楼主分享技术。。

查看完整版本: 服务器如何防范ASP木马进一步的侵蚀