【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [原创文章] 服务器如何防范ASP木马进一步的侵蚀 [打印本页]

作者: 柔肠寸断 时间: 2008-11-3 21:38 标题: 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

* n; C/ y0 J. z; S2 y; z9 @9 l

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)+ s6 r( F- K- m* @( L. b9 G# e
信息来源：3.A.S.T网络安全技术团队; B& I) N4 G9 r' l* t# H0 i. T
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.7 l' s F, f8 B
Shell.Application组件--可以调用系统内核运行DOS基本命令.
) M) ~( ]' O: H
一.使用FileSystemObject组件

  I: L6 D6 [. F8 J' {2 E" W) n1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.6 y; k* d. T1 G2 K& J; j
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
% b5 k  L" ?" D' a* T改名为其它的名字，如：改为FileSystemObject_38005 u) S2 X3 E- X
自己以后调用的时候使用这个就可以正常调用此组件了.; d4 m0 |/ ^! Y/ M) ~9 n
2.也要将clsid值也改一下
) k" j9 `; A/ U+ qHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
* ~$ _( b9 t  \6 b可以将其删除，来防止此类木马的危害.
, J+ O; B- a# i7 V+ J+ P$ Q$ U5 I3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  / l8 g  d3 g9 o( p# w$ t5 J+ |8 i
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件: X% g; {6 n  v' F
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
5 W- }$ L- S+ S2 [& Z* d" ?cacls C:\WINNT\system32\scrrun.dll /e /d guests2 p7 t6 |2 Q: f$ }: k% i6 L- G

( B2 \5 T4 \) U2 k
# l/ P$ v/ |( Q1 e" K; t& Y* ]+ Y" ~
二.使用WScript.Shell组件" I' l6 i) l1 p: O

. q& i; X* M) O8 Z1 j+ Y. B1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
( _+ X5 X' _* @! z. u+ ^2 q$ F% @; W: T
HKEY_CLASSES_ROOT\WScript.Shell\
+ W1 |6 [% B7 l0 r1 N0 I及# o* [# e; y1 i2 D% A% D, A! A5 p- ~
HKEY_CLASSES_ROOT\WScript.Shell.1\
D9 f8 b$ M5 N1 V7 p# d改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc- o6 \8 t8 {+ [
自己以后调用的时候使用这个就可以正常调用此组件了& U& ^& z/ K1 v* k
% d( c4 Z) V, w; ^1 D& B
2.也要将clsid值也改一下& f8 y. i. ~: F0 c; ]4 L5 g( R; \0 v
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值4 r! b4 X1 u t( r0 F1 J5 z+ p
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值. \9 ]' l( {. ]- _
也可以将其删除，来防止此类木马的危害。
8 ~/ H/ g/ I* Z3 x% M" }8 o

三.使用Shell.Application组件+ @# g7 N: D" }+ w* r% W$ l

0 T' N$ I/ e. M* i+ Q
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。' s, {7 J9 ~' S; G+ l0 {6 U( ]# ^
HKEY_CLASSES_ROOT\Shell.Application\1 C- E- Q5 z  C  X
及
0 z- B  t1 E: _8 L0 a: h; Z3 }3 YHKEY_CLASSES_ROOT\Shell.Application.1\! C1 N% m0 \% u% E( K; z5 R
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName) R$ J  L: D4 z& o9 w
自己以后调用的时候使用这个就可以正常调用此组件了# e5 z$ P* U% J9 _0 @% L. ]
2.也要将clsid值也改一下
# s& ~5 `9 p0 w2 lHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
1 s. l9 x# H( b+ e' x, gHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
1 }, Y+ c9 b/ o% ?* Q也可以将其删除，来防止此类木马的危害。$ z2 K2 e. [7 A! `5 q/ F+ ~  Q; f! }
+ H2 h2 y  `1 v4 ]+ _
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
* s! G0 f! @2 E; p+ }, Z  ecacls C:\WINNT\system32\shell32.dll /e /d guests
  G: _2 `% X: _6 m! d3 X

+ `% U, x$ Z3 l4 I
四.调用cmd.exe% H3 o D5 n/ b; Y* I

, j" @6 S$ l( V; D4 @" C
禁用Guests组用户调用cmd.exe命令:1 X# ^' f- W" o# `5 W3 i
cacls C:\WINNT\system32\Cmd.exe /e /d guests
- x' E& z9 o. ]9 o: `9 l

( ~4 f' M, R% a; ^
五.其它危险组件处理:

! ]" o; U8 I, R' [9 B2 ?& ?& {
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) , l5 b2 y+ B M* ?
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)7 X7 m) h( u2 l4 R/ O( b) h
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
7 P1 v) x: I) q

7 |& E; Q! a( E# c

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
$ C( p V2 U+ r# F+ V
PS:有时间把图加上去，或者作个教程

作者: saitojie 时间: 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

作者: 柔肠寸断 时间: 2008-11-3 22:08

我本机测试了下$ G8 @, B6 P% B$ G2 q) _* X4 O
5 k* h* a5 o7 z6 n
如果更改了相应的组件之后，ASP木马就完全打不开了

作者: saitojie 时间: 2008-11-3 22:10

有控发点图上来对比下

作者: 猪猪 时间: 2008-11-4 08:39

哦学习了知己知彼方能。。。。:)

作者: paomo86 时间: 2008-11-4 11:26

学习了……:D

作者: 小雄 时间: 2008-12-9 20:31

发点图比较容易吸收。。:lol 不过这样也行。

作者: 在意z 时间: 2012-5-16 00:23

谢谢楼主分享技术。。

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)