返回列表 发帖

[原创文章] 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
2 \+ X' H% k& R4 L$ m. `* U, B
0 h1 `, ^4 s8 ?$ S. E7 g
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)7 n% z& U& O0 @3 k8 D
信息来源:3.A.S.T网络安全技术团队$ w5 v; t8 i* w  z# F
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
7 a) t- I1 W* |" i0 oFileSystemObject组件---对文件进行常规操作.' }- O: i& h& i; X4 M% H  z
WScript.Shell组件---可以调用系统内核运行DOS基本命令.# q* i; ?$ ]+ E9 x' I
Shell.Application组件--可以调用系统内核运行DOS基本命令.
4 H  f; V& k/ m' i9 t- S5 {7 E. C, J! w7 o4 M2 G# ^
一.使用FileSystemObject组件/ x8 R. A3 @: T0 R) _
! C+ R# k( _% F3 w
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.9 b3 i! E0 k7 f' C8 h/ ^
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
. v7 i' p% s3 G' v: l, e& v改名为其它的名字,如:改为FileSystemObject_3800. _$ h; r5 m" I" V3 x( I* j' W
自己以后调用的时候使用这个就可以正常调用此组件了.7 u* d5 ^' u- \/ ^8 K
2.也要将clsid值也改一下
. z* {+ P  i' \' iHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
' @% a* P5 f4 N" J" p/ ]- ?可以将其删除,来防止此类木马的危害.: [2 o: k" B% ^  X0 n0 J8 u7 P
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  ! R# S' t  T6 r; x) U7 R( [6 k
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件* e3 Y/ R2 S! _7 n; o, |
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
, U* V3 I6 t9 Jcacls C:\WINNT\system32\scrrun.dll /e /d guests
* j% d) {+ h% y
: E' \2 R( }2 k" z' x* z( ^5 ~

3 K# \- d8 t% i7 _; |: I) O二.使用WScript.Shell组件$ t4 l' R9 g/ u2 V' q3 L( s/ k
. _& b4 X$ W4 Z0 J# f
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害." A9 [2 f0 g2 s# M* F
2 J# m  m. h0 R1 @; L; u
HKEY_CLASSES_ROOT\WScript.Shell\9 [6 F$ j2 t0 G

6 l  w, Z: W7 z; UHKEY_CLASSES_ROOT\WScript.Shell.1\) x4 j. D8 ~+ m
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc) O+ p; _  o+ z; P. d! V) G2 i8 i; i
自己以后调用的时候使用这个就可以正常调用此组件了' A8 t6 `1 R0 c% u

9 Q$ N3 Y3 ^' c& G3 }, N2.也要将clsid值也改一下
% w% d6 T8 F& K9 t  D9 eHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值% E" D4 D, |9 a- l/ T- W
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值$ H# `/ o. l# L7 v7 n* Y! V
也可以将其删除,来防止此类木马的危害。
5 o- P* N6 j5 ~. t! \9 o' a; _6 T

4 j+ h5 {! E* k4 m, U三.使用Shell.Application组件5 }$ A4 }' L# D# Q

' t; F# W  e. O% ~5 d& L1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
2 ~5 d- I7 p, i" UHKEY_CLASSES_ROOT\Shell.Application\
8 U: f' c' j8 J* f' h5 a4 j% _; |  i0 ~
HKEY_CLASSES_ROOT\Shell.Application.1\9 n- \. H) M- a0 `% R1 k% j* [1 W
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
/ g/ [  k, w, A: r自己以后调用的时候使用这个就可以正常调用此组件了0 ~# O* k* z; ?) e6 ]' V, q& }
2.也要将clsid值也改一下
/ o) \, L% }+ Q, eHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值+ n: f, g# F6 ?% j# M5 k+ ^
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值6 g& K9 Q! ~$ w0 x; Q
也可以将其删除,来防止此类木马的危害。
0 O2 g: ^  S0 p
/ C& @0 i% \7 N, B3 r6 V$ z3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
  A% |! r4 w8 U9 g! Z" pcacls C:\WINNT\system32\shell32.dll /e /d guests+ X  Y: P4 l( G; K1 Z$ A% v5 O  U
2 O$ P, H" B; a: r, I1 m9 R
四.调用cmd.exe
# J+ N# M9 b% L$ q
9 w# V# x! w5 Q1 D& o; U. s
禁用Guests组用户调用cmd.exe命令:
6 O  i0 X7 D& I% @4 m- N0 A% E5 o5 }cacls C:\WINNT\system32\Cmd.exe /e /d guests
. l$ V( R1 t4 N" h6 q
& @+ T, D- c$ [$ Z- i2 ?
) D. f4 I! a: O! H/ }3 V$ d
五.其它危险组件处理:) h0 }4 d& T6 n6 ^( f8 W7 y/ c
: f* Q' |9 |) \# E4 J
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) ) N2 r+ i7 @" x1 u! F8 L
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)# q0 f. C/ J0 X3 j5 c
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
: b+ i6 f9 Q" {
8 G2 n9 O5 m' l
" ^8 l+ n1 e$ |) P4 x  d# `# x
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.  w: N4 s+ h$ q4 U( ^' `% T

* n* A  P. {; [/ O  G: O$ v8 fPS:有时间把图加上去,或者作个教程
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

我本机测试了下
; W4 g, {& b1 ?
- e0 ^$ k7 G+ o: {. f5 l; z5 U如果更改了相应的组件之后,ASP木马就完全打不开了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

有控发点图上来对比下
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

哦 学习了  知己知彼方能。。。。:)
10字节写啥

TOP

学习了……:D

TOP

发点图比较容易吸收。。:lol    不过这样也行。

TOP

谢谢楼主分享技术。。

TOP

返回列表