|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
1 k% [$ a# M1 Z6 K( _* \8 \/ g9 e. d% S% J/ S- Z7 Q7 G- q
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
& c( h- H9 V! g _& ] D2 K信息来源:3.A.S.T网络安全技术团队* Q2 b$ K y! k3 o0 ]+ [
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.& d5 o( {5 @9 }) }$ R6 L# z( f# [" N, P$ @
FileSystemObject组件---对文件进行常规操作.5 ^9 e% R' \, A3 L" z- Q
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
# @# J- ]* L$ }5 HShell.Application组件--可以调用系统内核运行DOS基本命令.
" |7 U' @+ N. y- [/ W v
9 ?2 k! B0 e6 j$ W# I一.使用FileSystemObject组件. H" ^6 j& v, X3 `; c
/ p6 B, F/ n# D- u2 J1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.8 D. B" _, E) _3 c' J7 {4 \
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
9 e4 } U' p* x8 m& B) P改名为其它的名字,如:改为FileSystemObject_3800
) M7 f5 L- f& [2 i T9 T自己以后调用的时候使用这个就可以正常调用此组件了.
5 \1 L' P, i( f' g) E2.也要将clsid值也改一下
; X* j6 u. G7 r# K& UHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
, A% E0 ]! x% }9 k* Q2 A可以将其删除,来防止此类木马的危害." d; g7 f" c6 Y- F" T- {* s0 I9 N/ x
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
/ X/ D8 J! e$ R1 |! j$ o如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件' ~7 f& Z7 [% z
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
" u7 ] E6 }7 zcacls C:\WINNT\system32\scrrun.dll /e /d guests9 }, r, J+ d! X2 g- J( o q3 O" v
( \* X# [5 t) H/ C
二.使用WScript.Shell组件
2 L. E/ K J1 u$ C ^ 9 t4 y7 K" F9 S1 D
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.) V' B! \7 s# s ?* Z0 m
' q1 z: @4 a# i( T
HKEY_CLASSES_ROOT\WScript.Shell\
5 n" G; W, @- Y. ]- r/ E及
& K5 E m3 `0 _: z+ SHKEY_CLASSES_ROOT\WScript.Shell.1\
7 t, T; X6 `+ ^. _' O7 O8 B改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
4 R) J* [$ T0 L2 F自己以后调用的时候使用这个就可以正常调用此组件了: K. |; h8 w/ e9 f$ ~) B
' X5 f) r ?2 E; M, y4 D. k
2.也要将clsid值也改一下# [) \% e! v9 |+ m8 l$ y
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值4 z o% Q' w& H, u+ D
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
# K( t5 ? H* V" Y, y也可以将其删除,来防止此类木马的危害。( t& h% u4 @2 q7 K+ H5 r- |
9 y! A( P0 t; M/ _8 @) q9 |三.使用Shell.Application组件- ? ^! }$ n* f" |& u
/ ]' k6 K# u/ k* Y" X
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
$ b& V7 @' b0 t F) HHKEY_CLASSES_ROOT\Shell.Application\' T! Q# ^9 U# @9 Z/ I2 J
及9 w" c8 W8 I* o$ X! w
HKEY_CLASSES_ROOT\Shell.Application.1\0 Z1 u7 j& a$ ]- p) D
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName$ m/ L, E+ H% u
自己以后调用的时候使用这个就可以正常调用此组件了, q+ C. J! ?" b( k* A; k
2.也要将clsid值也改一下9 K0 L1 K1 k8 T
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值% A/ d. i( z) C6 b" K7 m# o# F! E
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
2 w# b7 C ?. k4 @' j: Z2 b也可以将其删除,来防止此类木马的危害。
) ^- p, }" g$ Y6 v2 I; f5 ^5 L( I/ j' o5 t" ]
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
1 a9 {- e( ^( v' ~7 {7 U; G* Zcacls C:\WINNT\system32\shell32.dll /e /d guests
# r# I# `: e0 l# L) z) {7 i& u9 |, H
& P+ \- J1 n1 K( B四.调用cmd.exe
, n$ \$ b! h/ y3 I& n, y1 B
/ M9 s3 Z2 _- k2 l% i' P* L禁用Guests组用户调用cmd.exe命令:
' Q! O3 _$ u+ ~- G; [6 u9 ncacls C:\WINNT\system32\Cmd.exe /e /d guests3 }) e" f e7 {" r5 d3 P- K
( Q; w1 {8 e& B+ B+ Q( f+ V& F! a9 {4 C1 v2 ~. l
五.其它危险组件处理:
! y6 ?( O+ r+ i
5 z2 ?" [ h @$ IAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) . ]6 p% T9 P! \; u$ T
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)( p2 u( t$ V8 s5 O& D' D, W
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
6 ?# T# d; G8 ]5 t( d
/ t# v( `) u3 I6 N3 h! p; r6 w# f; h9 C$ z0 O
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
, f3 b" f) g* ~% B
3 J& G3 s9 g- qPS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
