|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
; B9 [) K. u/ L6 R% m) C" [$ h' @. h) u% S" |2 d8 `
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn); @ n# @: l) X! i6 h u5 w @
信息来源:3.A.S.T网络安全技术团队7 ~! D* V" Q9 V/ D1 n, S
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
5 p! ^+ @! s5 }/ ~( m# } D, Y, SFileSystemObject组件---对文件进行常规操作.. S0 ?6 _+ F* a0 k
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
2 x6 [2 |# Z8 G! q( EShell.Application组件--可以调用系统内核运行DOS基本命令.
3 s7 q$ b% T# k0 w+ M
& b6 n% {5 v6 ]1 F一.使用FileSystemObject组件
" L, Y; B- [# m% j . Y, _$ _& _2 \! N
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.3 w) ?' b* U+ D5 G
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
- B n( Z, I0 \0 |% y8 R& o改名为其它的名字,如:改为FileSystemObject_3800
3 w1 T8 b9 m/ o! @7 o1 s) H; U3 h自己以后调用的时候使用这个就可以正常调用此组件了.
0 w2 `! f- l7 q2 f7 N2.也要将clsid值也改一下( Q' ^. a; C4 M" |3 s; X
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
: `, `/ Q6 q1 m可以将其删除,来防止此类木马的危害.
3 @, d/ e. M* p" `8 v3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
4 C1 P$ O& _, \5 r如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件* ^+ f! _- [; g# w X* O9 ^- M$ b
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
* L' n. Q0 T; o1 ecacls C:\WINNT\system32\scrrun.dll /e /d guests
7 [8 U- U9 j8 I3 |7 E+ v: E4 j; i
1 ^& v6 d5 [1 t& c+ d( ^二.使用WScript.Shell组件
5 y8 S. ^; K2 R+ `- E
- z2 b$ k1 y/ t7 @; L# y6 \1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
2 q0 E5 D% z# l- T" ~9 j, S8 R# i l- c X
HKEY_CLASSES_ROOT\WScript.Shell\
7 l& @3 P/ P- B- m6 b0 g3 }及1 I1 a6 F5 X, ]3 d% q
HKEY_CLASSES_ROOT\WScript.Shell.1\6 f! ?( R- Q H3 C, |5 v
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
9 }% t- ?( q6 p. `$ l" n自己以后调用的时候使用这个就可以正常调用此组件了: {2 r" S( T& F/ @
- T0 j; ^; K9 ?) r2.也要将clsid值也改一下5 I& Y" z- _8 ]6 c. s
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值* H( X: t/ c& h: ?6 d
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值 T+ a" ^' z3 d5 @4 i
也可以将其删除,来防止此类木马的危害。& W% t! ^* ]7 P. B$ P- f) J# O
5 b$ n. q4 H* G' ^+ Y. m三.使用Shell.Application组件
! W. [6 ^/ a d/ m1 H; B* n - h x1 @+ d9 [5 O, t( i2 z) Z' N
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。( h8 F. |, Y: T1 W
HKEY_CLASSES_ROOT\Shell.Application\
2 E# p7 D+ w0 W5 s3 Z6 w- j及6 z/ l! h) h; n+ v. K7 N
HKEY_CLASSES_ROOT\Shell.Application.1\! O6 @( Z [: [# O
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
2 I& m* L) i' r% C7 ?9 `自己以后调用的时候使用这个就可以正常调用此组件了
5 f& T& l2 `( u2 y G8 x* q3 {0 V8 i2.也要将clsid值也改一下
7 ^! i; u4 ?- ^* x, J2 Q; ], u* sHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值8 B! z9 k6 l4 K8 S, k
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
6 J- S' {7 n4 \也可以将其删除,来防止此类木马的危害。
0 T. V3 ?" X1 _5 A& L4 O2 N# B) [" n( v8 K% V4 t
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:: N4 P/ K- _/ S1 x) m v$ H# s
cacls C:\WINNT\system32\shell32.dll /e /d guests
% W+ j0 }+ R, a: c! D* r
四.调用cmd.exe* }# _. j% Q/ c
5 e- `5 \- P7 W1 m1 [9 ^9 F$ P" ?
禁用Guests组用户调用cmd.exe命令:5 f5 B- H( s% C0 @- G
cacls C:\WINNT\system32\Cmd.exe /e /d guests6 I b" @: X( T" `, |
) G7 J7 g3 C {! u8 q% [5 N
; l( c. S- J. X五.其它危险组件处理:
5 A; u4 Z9 `7 p3 n% W! y$ F# g
' z' I y3 X& s; g: h3 vAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 5 W0 ^7 J4 V$ {) j6 F* T: [ ~1 r& `
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74); G; S a& D( h+ u! V
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
9 u( \) e. j6 {, Z0 X$ J7 D1 B
: M8 W+ `* G# x. c3 m& @' G" X) n1 ^( c
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.( K: p5 C: D0 y
$ l$ y0 U* n& |! D
PS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
