|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
* \, i* h" u. Q9 F) p X9 i
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)$ `9 p E& z4 q% w4 d8 U7 m! R2 j ?
信息来源:3.A.S.T网络安全技术团队+ B2 K) l1 }% w: ?; Q2 z
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
1 m& Z0 E0 ~5 c, _4 J* E) wFileSystemObject组件---对文件进行常规操作.
% U8 V9 g* t }( d( a1 Z& T! zWScript.Shell组件---可以调用系统内核运行DOS基本命令.; R6 Z6 E& V1 z( N- P
Shell.Application组件--可以调用系统内核运行DOS基本命令.2 X& C; m+ T3 G2 X/ d) K
+ v( k% }* ^2 ~! }7 E, b# c0 ^
一.使用FileSystemObject组件
) x' U5 ^& s! W% d& ~6 ? ) z' @- U# O3 D
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.+ z/ S# y: k) B5 L. ]5 @4 {
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\0 }' }. `4 I2 f8 e0 H2 \
改名为其它的名字,如:改为FileSystemObject_3800
# K2 {6 g) j, K6 X7 l6 s4 ?) s) c# B自己以后调用的时候使用这个就可以正常调用此组件了.+ p6 l0 _) Z+ d9 [& f5 J4 E. D6 o
2.也要将clsid值也改一下* H7 h2 V& k& \- ^8 I `
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
4 @& C3 u4 y9 E) \可以将其删除,来防止此类木马的危害." l$ t9 e8 M7 ?6 I" H
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll # b& K. _$ a' I% e/ v4 y9 V* `
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件8 z2 }7 m) M7 O
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令: r8 p2 H. t& W% T9 `; ?
cacls C:\WINNT\system32\scrrun.dll /e /d guests& O( q* I2 d. K1 c- r
! P! I: P# g" ^6 `/ v6 ?( d0 q) s. C- ^8 d
二.使用WScript.Shell组件
3 t. E6 j- N2 M- W. ?( x) y
! m5 M: M9 P3 v& ^- G3 e- n1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
\6 C- P8 E5 j( E' Q0 c0 m6 i; P* {$ ]
HKEY_CLASSES_ROOT\WScript.Shell\- r* Q9 o# e A9 B# |# Q$ c# e, Y$ o9 Y
及6 h: g1 D/ Y- F" r- q/ ]
HKEY_CLASSES_ROOT\WScript.Shell.1\$ f' [' _: P$ A0 v" @
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
3 p [/ ~) x' u0 P1 e: z6 H' D自己以后调用的时候使用这个就可以正常调用此组件了* W9 H0 }& ]* t( b1 N0 [2 E. S
( S+ d. X9 j7 @( G; v7 F
2.也要将clsid值也改一下
+ `) M0 ~5 T$ r& dHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值8 y; I: j2 q; a3 B1 v2 Z. t
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值7 ?" @# x* t5 M; I
也可以将其删除,来防止此类木马的危害。
' Q1 y" V+ L. }- U
0 x3 z3 \! P2 W) z$ x. c ?2 B三.使用Shell.Application组件8 I4 J* n8 B, o' Y6 e" d( ?& a1 x9 o
, v5 X4 F* p9 C! h, G2 n+ _
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。9 T% i! a" `, }. i
HKEY_CLASSES_ROOT\Shell.Application\2 a. N. Y- J' \( j6 m. Z0 r; g
及
7 q4 v8 E0 N- V0 V: DHKEY_CLASSES_ROOT\Shell.Application.1\0 G. f* l% W/ m/ X4 H* B2 t
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
6 i, d( q) |8 i5 N* [$ I: ?自己以后调用的时候使用这个就可以正常调用此组件了/ c; s) V( E$ M8 a
2.也要将clsid值也改一下$ e: G" a. |$ r+ v7 P
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
8 x: Y. f+ v2 M. S7 o* M3 rHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
7 z8 x- a! v. ^, m' y也可以将其删除,来防止此类木马的危害。8 |0 }0 }# E% h8 C5 q1 m
. `* \, y8 E7 r$ D l3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
/ l0 `5 z# P2 A# y* v9 w& _cacls C:\WINNT\system32\shell32.dll /e /d guests4 D- C' X- B! K$ r# G
四.调用cmd.exe
* b2 k+ s( S& z) H7 t
7 o+ N6 i+ O6 l# u0 |6 ~( {9 {, }禁用Guests组用户调用cmd.exe命令:' }/ q+ ?: P5 {8 Z9 X6 d
cacls C:\WINNT\system32\Cmd.exe /e /d guests* j- O" v/ A, @1 E- t. B, A: p
$ o; Q0 d* g! g6 W五.其它危险组件处理:
3 K$ H/ Z z# L) l/ O& ^; V
- t% @" ?" C. c3 G: c! w7 M, I- P. DAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
1 x8 D8 \/ x- fWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
( I1 S2 Y$ I- lWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)5 r% {* J1 U6 \# {6 D/ y
6 i. \6 M7 ] z+ ^" d2 ?按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
$ C- g; c$ U- O% O# M: o, ~ c) V+ v- V2 q
PS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
