|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
* Y1 P9 o# s0 c- l, R1 F* J! C/ K) i
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)# v8 h0 W3 T5 h7 n6 C
信息来源:3.A.S.T网络安全技术团队
2 i# G+ o" Y* N/ ~. e0 \防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.+ x! t6 g( m# t
FileSystemObject组件---对文件进行常规操作.: q! i V* x N
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
3 b T- G$ G/ J% l, MShell.Application组件--可以调用系统内核运行DOS基本命令.
3 I8 H/ q+ v% B$ W
. {# ~0 p# e8 l' G8 O7 ~& p一.使用FileSystemObject组件5 ]# {! n' Q/ K7 `# H: K- e. h
7 v, V) U9 {5 `# Z U% T
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.0 Z( b6 N$ v; G- I9 O, A9 ]3 h
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\, \# g: P" R7 r4 V! C
改名为其它的名字,如:改为FileSystemObject_38007 Y, C0 |3 e& \
自己以后调用的时候使用这个就可以正常调用此组件了.; q% @6 l$ e ~2 f8 i4 ?$ t& o3 z; P
2.也要将clsid值也改一下
+ A" `9 L+ k) X# cHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值7 A- r0 L6 x' Y3 }! L( r4 x
可以将其删除,来防止此类木马的危害.
, ?1 T& u/ {7 Y p/ m# `3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 7 d( a6 ` A) D6 k5 R$ P
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件" g! S1 u7 M7 I! s* x
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:9 [* W* _0 |4 E: t. E
cacls C:\WINNT\system32\scrrun.dll /e /d guests8 S; N- m. t6 ?( K* @
$ H X# H/ c- t, M# E' Z* t二.使用WScript.Shell组件
1 K1 |; v: e f' D/ k- v
2 [5 ^7 t4 i2 K# ]7 a3 m1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
! f( s# _3 l2 D( @! [& M5 U \. x4 h! M( P7 v& C8 }: r. _6 f
HKEY_CLASSES_ROOT\WScript.Shell\
' w& K/ ~/ M$ M/ t3 ~$ ?0 n及4 G, ^0 X3 P! s9 i
HKEY_CLASSES_ROOT\WScript.Shell.1\; A! p' q7 y' f' A' {
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc/ y Q+ {/ h- e- T9 L( x9 ^& ^
自己以后调用的时候使用这个就可以正常调用此组件了
7 s8 } u4 \/ N
# m7 ~/ V- [3 [6 J2.也要将clsid值也改一下* T& m, p$ ^4 k% ^% ^$ E/ H( w' c% ]
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
$ M; y( P7 V- t4 |/ ]HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
( ]5 o+ C1 D3 \也可以将其删除,来防止此类木马的危害。2 u, s/ t, @- y4 C j
0 d7 ^( a* h3 W1 e3 a% x4 t7 Y. s, D三.使用Shell.Application组件
" M7 Z- n* [7 @5 H* p1 z( A , K- q) p/ q3 g( w5 ?* V
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。, ~* V; E, r: k5 D/ g ^! |/ n
HKEY_CLASSES_ROOT\Shell.Application\
6 ?: {- s/ g) ~$ `! `及) g0 z+ U5 }2 y0 ]
HKEY_CLASSES_ROOT\Shell.Application.1\
& n0 ^7 ?# O# \( x改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName/ n* r" X1 ? w: D3 g7 K! C
自己以后调用的时候使用这个就可以正常调用此组件了
: {& ^+ l2 Y! Y# y* j( V8 F& Z2.也要将clsid值也改一下
7 E) U4 P; g9 y, G! L1 t( hHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
' @6 a1 `; g6 c6 s$ ~HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
g$ @4 b* x& d1 M9 r6 S也可以将其删除,来防止此类木马的危害。
' U+ C1 k% _0 _/ P, ^8 A+ a
6 a4 H; R0 u6 ~) e' B2 K6 _6 R% Y3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
' O. p1 b( e* a: W* E9 Dcacls C:\WINNT\system32\shell32.dll /e /d guests
) j+ D) j* f2 U* g( S
/ V! u$ N6 ~6 R; a$ U四.调用cmd.exe8 m1 I* A3 f& v: X1 H
& E& S( U) L# `
禁用Guests组用户调用cmd.exe命令:
+ E0 M+ _8 H+ i1 t1 }9 A: kcacls C:\WINNT\system32\Cmd.exe /e /d guests
& i, E* i5 R5 A9 p; d# w
4 y: b. \7 S2 v$ t6 N2 o
- Z, g6 [3 @0 c+ Q五.其它危险组件处理:
! s- v- i" n7 Y5 [! K" Z, z( K 8 J9 G: c" z; k, E. _2 ?% t
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) ) [- ]: r9 M# k
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
% m$ k# G7 o2 W3 jWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)3 `/ {. E* \1 a1 m; g! i
- e( O( k3 R: w1 o) T& C) N; J( T0 W( e7 v
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
2 `) _' R. A" W) r( R8 J, O4 z
5 k( Q# g' r7 z9 J, {PS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
