【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [原创文章] 服务器如何防范ASP木马进一步的侵蚀 [打印本页]

作者: 柔肠寸断 时间: 2008-11-3 21:38 标题: 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

9 d% W% F+ t3 ]
4 R* v! x* @" z T
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)4 C- e! S& A2 K; g5 S
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.; `) S7 l. {+ M
FileSystemObject组件---对文件进行常规操作.9 ?) c9 R' k% B# I: _( C: X
WScript.Shell组件---可以调用系统内核运行DOS基本命令.1 S e% y( f8 J
Shell.Application组件--可以调用系统内核运行DOS基本命令.1 u( G: G& l& q8 x# U2 H" a9 I

一.使用FileSystemObject组件# l9 r/ ~, T/ P

# O7 Q2 r. D  L9 K
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.2 b3 _- z' G! T, C6 `
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\" J- X3 M, m4 W; _  V1 c. W; y
改名为其它的名字，如：改为FileSystemObject_3800
% ~. h9 h$ p* a  P3 b3 w* D自己以后调用的时候使用这个就可以正常调用此组件了.3 S8 ]! }! S0 X" {2 ~. ^( l
2.也要将clsid值也改一下  T2 P5 p  I" U3 L+ c! x# k1 U
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值3 D$ ^. t# D5 ^5 S; s4 \# h/ V0 I
可以将其删除，来防止此类木马的危害.
8 M# U2 W+ ^& [& M$ ]3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
, i5 Q" C5 R0 t, U+ x; p如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件1 w  y2 i+ F+ \* A7 M4 M; g& ]
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:% p: z. y3 q2 H# N0 v8 D
cacls C:\WINNT\system32\scrrun.dll /e /d guests
, k; t: }8 g0 d9 N- o  t- [

5 R4 {) _$ ~7 p T+ n' {
二.使用WScript.Shell组件

; ?& A* a6 ^' Q; s+ d1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.1 I& Z" u. b4 W7 v

3 [9 l, S! W: ]- s' r8 z6 z4 _: eHKEY_CLASSES_ROOT\WScript.Shell\
' `0 h5 H8 w3 I及
4 j/ L  n6 y1 K% _7 q" PHKEY_CLASSES_ROOT\WScript.Shell.1\
5 l: a  S& }' F: O  `. R改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc2 u+ P/ G% [5 S2 O
自己以后调用的时候使用这个就可以正常调用此组件了
  `: \9 W; C/ W8 r$ \; y9 ?7 {0 h# W
2.也要将clsid值也改一下
& C. Q4 ?+ l9 BHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值* h8 l* P# E& N4 m& u- M, B
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值. n- Y/ n6 {+ {$ g, D
也可以将其删除，来防止此类木马的危害。
# E1 Z' k; h! J$ |1 q! }, P

+ T l* I& L( R3 l @! j
三.使用Shell.Application组件0 j3 _8 w0 ]/ c

4 m- X( z0 B4 |! v1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。3 N4 L- l+ V  N' c& u: Q
HKEY_CLASSES_ROOT\Shell.Application\+ ^% [3 ^8 [2 A: P
及
. b% a. X3 j; @+ |7 \HKEY_CLASSES_ROOT\Shell.Application.1\" V$ \& G+ C, _# ]" E: l
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
- l+ r: L! W' }4 A2 f: G: W自己以后调用的时候使用这个就可以正常调用此组件了* o  X6 b& D) h+ j/ N
2.也要将clsid值也改一下
2 D# d1 c7 W1 g5 mHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
( [* l3 g. J2 G2 J: O2 f& WHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
9 g/ u# j; l$ k, g也可以将其删除，来防止此类木马的危害。% e4 U5 C/ r  v: }" g* ?' c

+ F) M: @( y$ }9 Y" F" D) |1 P/ H6 }3 w3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
! v; q9 e4 S4 B9 k- [: i1 c3 {cacls C:\WINNT\system32\shell32.dll /e /d guests2 H0 _; p& u' ]5 ~

0 q0 q" m5 k) ?9 h5 g$ R
四.调用cmd.exe

4 A% g1 W* D$ }$ K* Q' a8 t
禁用Guests组用户调用cmd.exe命令:
& M2 ]/ d6 ~# Q$ b" G5 u7 D rcacls C:\WINNT\system32\Cmd.exe /e /d guests- K( Y: g, D5 ?! N* J

五.其它危险组件处理:

6 K4 }. s ~& |
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 0 t' Y' I3 |( M: T' a8 _1 Q* D
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74). W; M; L6 i6 x- x: T" Q" j+ j
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)9 z( A: f3 E$ r4 [% q, z4 _/ s

- w5 ]# `. H: c& O" ~2 c
& r# W, X2 D8 V1 H0 V F0 k
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程

作者: saitojie 时间: 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

作者: 柔肠寸断 时间: 2008-11-3 22:08

我本机测试了下

如果更改了相应的组件之后，ASP木马就完全打不开了

作者: saitojie 时间: 2008-11-3 22:10

有控发点图上来对比下

作者: 猪猪 时间: 2008-11-4 08:39

哦学习了知己知彼方能。。。。:)

作者: paomo86 时间: 2008-11-4 11:26

学习了……:D

作者: 小雄 时间: 2008-12-9 20:31

发点图比较容易吸收。。:lol 不过这样也行。

作者: 在意z 时间: 2012-5-16 00:23

谢谢楼主分享技术。。

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)