【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [原创文章] 服务器如何防范ASP木马进一步的侵蚀 [打印本页]

作者: 柔肠寸断 时间: 2008-11-3 21:38 标题: 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

) A2 {' o+ `( q4 x& J& _. A* J
8 m; @+ u1 b; {3 u1 g. o
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)& L: L! C5 C% @5 d+ ?$ D; l
信息来源：3.A.S.T网络安全技术团队. a& k. a; q4 P* d9 d: F7 v2 M
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.; z$ G* }5 m" q# v; q7 w
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令./ h$ s) E' O% @8 Z
Shell.Application组件--可以调用系统内核运行DOS基本命令.% J5 |& o8 ?! h% ~, x4 \ O
" O1 [- s$ S, S: \8 G
一.使用FileSystemObject组件

3 x  a; m" S% o, \+ w6 K1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
& o  ?) {: x1 \5 |, E( rHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
- h& f5 }1 m: p5 Z& W  D改名为其它的名字，如：改为FileSystemObject_38008 Y3 c  {$ q2 F. O- S
自己以后调用的时候使用这个就可以正常调用此组件了.
9 j( x, @$ S3 P/ n) J; @2.也要将clsid值也改一下
  ^: l7 v+ H! o# y3 y/ j: U9 `, {HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值9 A; `" j7 S" o) e
可以将其删除，来防止此类木马的危害.
  z4 t4 w, }/ T: ]3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
$ A& }, x; S* C# M+ F- y如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件% ]8 A" H$ ?! n; A
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:' }. A2 W  z0 M3 Y* X; `% L0 g
cacls C:\WINNT\system32\scrrun.dll /e /d guests5 n' r" g" O7 R3 t' I

9 K; A! I! G- X/ X9 v- h

二.使用WScript.Shell组件5 E% p( \4 G( I. G5 x9 m

\& K: E! E2 e5 w
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
1 X3 x2 k+ o# ?2 ~
; o5 `' D8 T9 t3 fHKEY_CLASSES_ROOT\WScript.Shell\
! f/ X2 ^6 y/ S4 @3 u, F及
6 s7 T8 }0 L& T$ i% c5 _HKEY_CLASSES_ROOT\WScript.Shell.1\
5 O$ f6 Y: x3 A' R$ R8 [改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc; T3 H8 i4 e0 s) Z& d
自己以后调用的时候使用这个就可以正常调用此组件了, d) g7 S0 l7 _& [# W7 c* e
/ K8 [$ \/ x6 U& H* T
2.也要将clsid值也改一下
( }5 F: q1 j4 mHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
2 u) x4 t2 f& e7 z; @4 f4 L1 J- PHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
; z- @& p+ o9 Z" U$ a5 [( S" T8 ?( P也可以将其删除，来防止此类木马的危害。; J8 l9 l; {3 Q* v* f) Z

) K7 \4 Y7 }$ O7 L" h# F
三.使用Shell.Application组件

# E2 ^) ?% e4 s3 r8 u) Y! E
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。' m5 w# o$ P5 v+ W
HKEY_CLASSES_ROOT\Shell.Application\) Q; |, t; G1 A- O  @* ?' A
及
7 F8 J/ j/ b; x& D3 v2 V' JHKEY_CLASSES_ROOT\Shell.Application.1\) r/ e0 Q2 l- |7 k- m( V
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName/ _7 l% s4 w) [# e$ B( [) h  g
自己以后调用的时候使用这个就可以正常调用此组件了
; V) Y8 g8 T' v, O8 g2.也要将clsid值也改一下1 e- T. u" Z7 Z& V+ z9 X9 e
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
* x0 \8 \" q, x1 s9 _3 }HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值2 J, \, Q& t. X' X, z
也可以将其删除，来防止此类木马的危害。
; K  t2 e9 ^: c: P# |4 R0 i
: K( ^0 W  G0 K1 t) h& h3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
6 Y) O# ?5 c6 I0 G! ?cacls C:\WINNT\system32\shell32.dll /e /d guests
6 @( v, u8 u, b/ w; Y& d, a( x

四.调用cmd.exe

& I' v6 ~7 g# ~6 A3 ]( t# | w禁用Guests组用户调用cmd.exe命令:& v& ~2 |7 A6 E+ f/ h' Q9 l
cacls C:\WINNT\system32\Cmd.exe /e /d guests0 U/ P9 [4 B9 f

) r) M g7 O# i0 K* o
五.其它危险组件处理:

. z* i2 M |- A E8 b
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
; q- _% t# f' LWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)6 f8 }/ }/ ]; }; x. c+ N
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)% z8 w( O7 y$ S* } w

- S. U* ?; Z6 l) k" m2 J0 y# f
: E) b3 I: t3 M. {0 J3 x1 J
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.7 \. F* Q( E8 V
, Y* `3 D& e. \( R$ z) ?
PS:有时间把图加上去，或者作个教程

作者: saitojie 时间: 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

作者: 柔肠寸断 时间: 2008-11-3 22:08

我本机测试了下
, U5 |2 r7 W0 S2 \6 x7 o
如果更改了相应的组件之后，ASP木马就完全打不开了

作者: saitojie 时间: 2008-11-3 22:10

有控发点图上来对比下

作者: 猪猪 时间: 2008-11-4 08:39

哦学习了知己知彼方能。。。。:)

作者: paomo86 时间: 2008-11-4 11:26

学习了……:D

作者: 小雄 时间: 2008-12-9 20:31

发点图比较容易吸收。。:lol 不过这样也行。

作者: 在意z 时间: 2012-5-16 00:23

谢谢楼主分享技术。。

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)