【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [原创文章] 服务器如何防范ASP木马进一步的侵蚀 [打印本页]

作者: 柔肠寸断 时间: 2008-11-3 21:38 标题: 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

( q9 r. }1 i' h6 N9 c' n
( \% X. P/ B, Z, x1 |& ^) T* c; Y
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)3 L g/ P2 g& Y2 O
信息来源：3.A.S.T网络安全技术团队: S& T. O, h( _- U- g
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.9 ^5 |0 |4 U& K- ?2 X, P
FileSystemObject组件---对文件进行常规操作.8 [7 s: c. k' v6 F3 B
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.
0 A8 [% V: P: H! j1 D* Q
一.使用FileSystemObject组件

  P2 p  e4 a" }; @' M3 V1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
& O. J* j* v' ~7 t& @' @/ s1 ~HKEY_CLASSES_ROOT\Scripting.FileSystemObject\: A: n, V+ [. g9 U% ~1 [
改名为其它的名字，如：改为FileSystemObject_3800  y* a- m! w( Z. e1 y" `
自己以后调用的时候使用这个就可以正常调用此组件了.0 B& ~- J. ], ?4 Z7 M
2.也要将clsid值也改一下; y. f: g) |  h7 \/ t5 W- _7 g
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值9 g7 @/ i) J( K. `/ H8 E! l4 r
可以将其删除，来防止此类木马的危害.
" Z3 c+ s' ], {/ F: S# i* M3 o% p3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
. _& h6 x8 w: L% s- z- y如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件( t: q. U8 ^, p. D' [
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
9 H5 [% q6 D' t5 E$ o( Wcacls C:\WINNT\system32\scrrun.dll /e /d guests
$ ]. f  c5 @2 Z5 Y( m

二.使用WScript.Shell组件% @% q: g1 j+ X. b# u# V8 y8 G. I

' [8 d9 J1 H! l+ Q, `
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.' I4 ~( y/ F7 {/ v9 F$ H

% l: p" G6 Y9 |$ UHKEY_CLASSES_ROOT\WScript.Shell\
' e X( R' E5 T# ?2 a及; H2 T- I1 n6 q! Z g& z7 R
HKEY_CLASSES_ROOT\WScript.Shell.1\1 a) d x3 E. S9 W0 B5 w* C6 x
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
/ D, }( L2 m! p( y# T自己以后调用的时候使用这个就可以正常调用此组件了
" |. x# m! n, m
" u2 e* C' D) |5 t1 y2.也要将clsid值也改一下
2 t+ a$ S/ X% n- K4 `6 M, oHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
) V/ Y0 V! n/ d& e) BHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值. A+ k8 ]6 O1 b1 J, ^) V3 F
也可以将其删除，来防止此类木马的危害。
' v! U1 t1 U5 o

三.使用Shell.Application组件

8 G" ?' y9 t, p: Q9 t' ]& S
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。0 ?& m1 a; L9 p5 ^" V: P; A
HKEY_CLASSES_ROOT\Shell.Application\
Z! ^+ }- N) G7 q l及- r+ W2 {7 g9 O- L. Z
HKEY_CLASSES_ROOT\Shell.Application.1\
& A# O5 Z! C* Y, C' b9 A" O改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName* X" C6 q! [- n! `" a2 D- ~% `
自己以后调用的时候使用这个就可以正常调用此组件了4 X& v! d( m9 l* w
2.也要将clsid值也改一下
! h( N5 O9 y& I+ ~- i7 w% S1 CHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值4 T6 Z+ q5 i: s) |
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
1 R0 Q% f) X$ ^: Y; I0 I* @也可以将其删除，来防止此类木马的危害。5 H9 J7 `% Y7 G9 B& f4 ]

. J+ W& J7 r0 k; V3.禁止Guest用户使用shell32.dll来防止调用此组件命令:8 Z( |9 n& ?; c/ ?( y R4 y
cacls C:\WINNT\system32\shell32.dll /e /d guests4 O+ C/ y4 H* X; O

6 q' K' V& M" s7 ~$ j: p
四.调用cmd.exe- E3 F* {& X/ [3 K7 s/ C* |

, W+ }4 G% _6 c# R禁用Guests组用户调用cmd.exe命令:4 V5 m0 A/ L" Y# J9 }9 ~
cacls C:\WINNT\system32\Cmd.exe /e /d guests6 I# Y8 c1 {/ t' s' h( x; O! t

+ l6 y$ s8 y) {/ @ N# R
( q! e& Q. | j0 o- m2 H- A( g( h
五.其它危险组件处理:

5 |; d1 t3 O+ T# |6 P
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 0 a; D u" D( j2 {+ \
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
6 c$ N1 G0 n$ H* ^* o) VWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
4 ^' b& [! t* }7 B

; G5 J7 I& j& R6 |- s
. _2 r5 \/ o9 `8 O$ `) v
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.* u7 P* i. k; [" p& j
& g* C3 a S$ W% b; I" Z# i
PS:有时间把图加上去，或者作个教程

作者: saitojie 时间: 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

作者: 柔肠寸断 时间: 2008-11-3 22:08

我本机测试了下8 I& I4 ^8 R6 i0 Q7 R
: \, D" t8 N' h6 w2 G5 c& \, }
如果更改了相应的组件之后，ASP木马就完全打不开了

作者: saitojie 时间: 2008-11-3 22:10

有控发点图上来对比下

作者: 猪猪 时间: 2008-11-4 08:39

哦学习了知己知彼方能。。。。:)

作者: paomo86 时间: 2008-11-4 11:26

学习了……:D

作者: 小雄 时间: 2008-12-9 20:31

发点图比较容易吸收。。:lol 不过这样也行。

作者: 在意z 时间: 2012-5-16 00:23

谢谢楼主分享技术。。

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)