【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [原创文章] 服务器如何防范ASP木马进一步的侵蚀 [打印本页]

作者: 柔肠寸断 时间: 2008-11-3 21:38 标题: 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

7 d- p# L. ?6 N% z- B

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击./ o1 J- M: ~" j3 O. z5 R+ [$ p9 T& J" R
FileSystemObject组件---对文件进行常规操作." ~: ?) T) F- p9 K
WScript.Shell组件---可以调用系统内核运行DOS基本命令.6 e8 @ o* D$ u; e6 e( c
Shell.Application组件--可以调用系统内核运行DOS基本命令.8 d- f2 ~) o- K6 a c: j; i

一.使用FileSystemObject组件

. ]# c( i; J1 _' l
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.; H+ O& L/ }$ v. C3 v: @
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
/ v" j% p  Q* |) C& M改名为其它的名字，如：改为FileSystemObject_3800& w; j! c0 @$ [2 E  Q: m4 `
自己以后调用的时候使用这个就可以正常调用此组件了.
9 ?. b, l* u0 a7 a$ w$ b2.也要将clsid值也改一下
5 e% G! g9 V. h3 W$ `HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值: G& k6 A6 X9 b) N0 H  u
可以将其删除，来防止此类木马的危害.
" ]$ s- I6 W( i8 p% y+ S! E  _* M3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  6 O; v, M6 \5 y7 B# C" y) M
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件# G4 l7 W* s5 x# c; x
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:" a/ ^" Y! e& U; d( B* b, t7 W
cacls C:\WINNT\system32\scrrun.dll /e /d guests0 z2 l5 ?  i0 M2 c9 v; N: g

" @; E9 b# k0 A3 q/ H9 c% K

二.使用WScript.Shell组件) \, E# k- [& r/ V' V0 z, |

+ b% ]8 _3 f/ L4 N1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
9 `" f5 n: ?# d' P- V7 Z( }2 q! n9 ~8 I2 f' M+ _
HKEY_CLASSES_ROOT\WScript.Shell\+ x& J- z, f7 U& j
及
8 l, E' t* A& i& }7 @HKEY_CLASSES_ROOT\WScript.Shell.1\2 K/ c. e7 C7 q% P# c- u
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
, R! ^4 K7 s5 A0 Z4 o( R自己以后调用的时候使用这个就可以正常调用此组件了. q- L- i$ h+ t: b1 y' m. A
* p5 C6 P i% ~& m6 K _: G8 d# L+ G
2.也要将clsid值也改一下9 C9 ^7 k! z% c$ G' m
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
" S! X: A1 L5 t' L: x4 D: o4 n" qHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
R4 |6 o+ `- a也可以将其删除，来防止此类木马的危害。
7 ?" a, b! q$ l$ O( J$ w

. b) W1 ^" r- }
三.使用Shell.Application组件8 K' {: n8 U5 u% ]/ L9 C z: I2 N

$ C/ B2 z3 p, s1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。& @  U, ?4 l1 X# M8 r; M
HKEY_CLASSES_ROOT\Shell.Application\
3 A6 [/ l: P1 y1 j& h1 K3 Y- y6 l: X8 S及$ x  K# Y7 F& }% D
HKEY_CLASSES_ROOT\Shell.Application.1\! n6 n/ c3 W5 R
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
5 o; L4 s3 d! ?: n7 l: v自己以后调用的时候使用这个就可以正常调用此组件了
- o+ c, N* E+ R2.也要将clsid值也改一下9 G8 M& Y* f5 J2 o( G' @, Z8 Q
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
  N; d% ]8 B" UHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值9 }! [1 G" Z8 ^1 ?0 B2 ~1 h2 G
也可以将其删除，来防止此类木马的危害。1 \( N5 I8 B! v1 T! a

( i* G3 m+ F4 s. b  b& r. |3.禁止Guest用户使用shell32.dll来防止调用此组件命令:# F- l' i4 H! {% `/ c0 s
cacls C:\WINNT\system32\shell32.dll /e /d guests
& i6 L; D8 X" `$ P6 B1 a6 `, _

四.调用cmd.exe* h: n2 R! z) O' k* b- ]

) J; \ f# Y3 Q+ l1 y禁用Guests组用户调用cmd.exe命令:
7 L2 K3 c; L4 J: hcacls C:\WINNT\system32\Cmd.exe /e /d guests
2 t8 k0 \( a7 f$ I" k

五.其它危险组件处理:

8 h% Q, z0 w' j0 {7 W: [9 p0 t' Q C
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) , u1 G& b+ M) _: B* y* l
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
6 c9 a$ A! Z; j1 L8 B0 uWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)8 x9 }5 p$ j& q$ H/ L, F

2 `+ |' v2 [6 S. u
5 k/ Y( C/ J: {# C, @; j8 {0 q2 H$ G
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
! @& n$ v4 \, a2 N4 `- [+ v# b0 w$ N
PS:有时间把图加上去，或者作个教程

作者: saitojie 时间: 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

作者: 柔肠寸断 时间: 2008-11-3 22:08

我本机测试了下" e+ Y7 |5 I E5 g R d+ N) @; t+ k6 Q/ D
2 C9 }% R4 b3 ~. g c
如果更改了相应的组件之后，ASP木马就完全打不开了

作者: saitojie 时间: 2008-11-3 22:10

有控发点图上来对比下

作者: 猪猪 时间: 2008-11-4 08:39

哦学习了知己知彼方能。。。。:)

作者: paomo86 时间: 2008-11-4 11:26

学习了……:D

作者: 小雄 时间: 2008-12-9 20:31

发点图比较容易吸收。。:lol 不过这样也行。

作者: 在意z 时间: 2012-5-16 00:23

谢谢楼主分享技术。。

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)