|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
, k4 _7 i8 o; Z- |% w2 a" b/ M* i; J5 Y, q5 M
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
/ J# e( H5 I& u/ c) T' ~- j/ E信息来源:3.A.S.T网络安全技术团队0 i5 r6 `' C4 f. Y$ s( C9 [
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
( ?' x6 t5 R7 H& o3 z0 W9 Y% kFileSystemObject组件---对文件进行常规操作.2 h) S5 C. ~8 M$ @7 g; g
WScript.Shell组件---可以调用系统内核运行DOS基本命令.. a4 ^# ^+ J5 w/ q. `
Shell.Application组件--可以调用系统内核运行DOS基本命令.
5 e7 H8 c) X# c, g# g0 k
5 i- H8 \) }: F2 T5 t; Y! s一.使用FileSystemObject组件3 O0 Y: _6 |1 P" C2 q5 [& l4 }! C
' B1 ?' N) R. F) q7 Q
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.! X3 S- e- Z o3 u u3 t/ x/ X
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\/ B% J6 P8 R7 E6 @1 r6 z
改名为其它的名字,如:改为FileSystemObject_3800' t5 Y1 b% E/ q) G
自己以后调用的时候使用这个就可以正常调用此组件了.
' D# w7 r# H: Z2.也要将clsid值也改一下
& d2 }) G* ~0 [" Y5 `0 ^) y- }HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值) N6 Q/ r/ {% g( H% _' q2 c
可以将其删除,来防止此类木马的危害.* V, U1 k a# W; E0 x' @8 n, C
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 1 s. f; A9 Y ^2 p- E
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
. c; ]# s' E/ {. M: v4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
! B% p( Z0 q5 wcacls C:\WINNT\system32\scrrun.dll /e /d guests/ L5 k2 p$ }+ S# b m1 Q% n$ N0 h
5 Y$ s# V! `$ H+ t( P# S/ B) U0 M2 ~二.使用WScript.Shell组件
7 U1 Z8 ?, Z" u0 g9 L" K / W! V0 c# K& l% Q
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害./ O2 G2 s! `5 ]; e. x! h
8 h6 m' Q T2 t; f, ~3 a% c$ zHKEY_CLASSES_ROOT\WScript.Shell\1 Z/ F9 L- T$ r3 d
及. z5 ~+ q: X8 \8 a% W% M% s
HKEY_CLASSES_ROOT\WScript.Shell.1\8 w5 f/ T$ @0 h( o" @3 P
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc/ ]) a' T1 A P
自己以后调用的时候使用这个就可以正常调用此组件了1 V1 }' y) s% z; G/ F( q3 s+ M" D9 J
6 N. u) {5 C/ e: Q- X0 H2.也要将clsid值也改一下
0 A6 i- o+ h4 MHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
& L b1 T, s$ _HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
$ C3 a& D1 O$ ]. l6 y; Y( ]也可以将其删除,来防止此类木马的危害。* P. z, q- P: ^- S7 y
& [' A1 _9 J8 B4 f8 Y! X三.使用Shell.Application组件* L/ q& {! @' r# r* {) ]- }$ V
) ^+ E; P" S0 _+ p4 U9 X1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
+ b% f" ^" C5 ~3 ]HKEY_CLASSES_ROOT\Shell.Application\
! W2 U ], B8 M' n及' J a) ?% m5 ~# a% }! l. d& |
HKEY_CLASSES_ROOT\Shell.Application.1\7 ]& f: b: K1 v/ c" [1 D7 ], r3 ]
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName: L2 ^* N. N1 p% X4 \( {. u' e
自己以后调用的时候使用这个就可以正常调用此组件了
" _+ m0 u8 `4 v8 [( D2.也要将clsid值也改一下9 f9 W3 K2 C) k3 B4 n, {3 o! K
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值' e+ c6 ~8 { |* \( F' L- p; e
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值5 x& f$ x, S+ ?0 b u
也可以将其删除,来防止此类木马的危害。
1 A% b' ?6 g8 j0 `. R
2 H" k. k. X; Q1 `- _' S1 H9 `3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
1 ^8 L. Y4 T: k7 ?) B& g3 scacls C:\WINNT\system32\shell32.dll /e /d guests% ]( ]/ y8 c+ w8 D/ r( v
四.调用cmd.exe% T* r5 P& q7 U0 D1 Y" J
( B. }% `9 j; x( i
禁用Guests组用户调用cmd.exe命令:- |! i2 S H+ y1 u. U6 }
cacls C:\WINNT\system32\Cmd.exe /e /d guests
X4 `# D1 [. _- F5 |" L( n% ~9 j5 n/ ]
, g& g7 C% e/ z' J- I6 A7 ^2 D( v五.其它危险组件处理:( h r/ u6 u3 Q& [7 s
8 I" h7 c: [7 t# f! iAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 1 N, b8 v" Q" {2 T U% h8 v$ }
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
) Y1 E/ C* M& T9 W# Q( \4 u8 L# HWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
: O; ~, W. l0 g5 x
4 | u$ a8 Z5 |: b3 T2 _
' [1 c* d8 K( D% g8 \# z按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
" F1 V. _! c/ d& U2 h
, c, r" H- h% R0 a2 |PS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
