返回列表 发帖

[原创文章] 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看

1 k% [$ a# M1 Z6 K( _* \8 \/ g9 e. d% S% J/ S- Z7 Q7 G- q
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
& c( h- H9 V! g  _& ]  D2 K信息来源:3.A.S.T网络安全技术团队* Q2 b$ K  y! k3 o0 ]+ [
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.& d5 o( {5 @9 }) }$ R6 L# z( f# [" N, P$ @
FileSystemObject组件---对文件进行常规操作.5 ^9 e% R' \, A3 L" z- Q
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
# @# J- ]* L$ }5 HShell.Application组件--可以调用系统内核运行DOS基本命令.
" |7 U' @+ N. y- [/ W  v
9 ?2 k! B0 e6 j$ W# I一.使用FileSystemObject组件. H" ^6 j& v, X3 `; c

/ p6 B, F/ n# D- u2 J1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.8 D. B" _, E) _3 c' J7 {4 \
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
9 e4 }  U' p* x8 m& B) P改名为其它的名字,如:改为FileSystemObject_3800
) M7 f5 L- f& [2 i  T9 T自己以后调用的时候使用这个就可以正常调用此组件了.
5 \1 L' P, i( f' g) E2.也要将clsid值也改一下
; X* j6 u. G7 r# K& UHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
, A% E0 ]! x% }9 k* Q2 A可以将其删除,来防止此类木马的危害." d; g7 f" c6 Y- F" T- {* s0 I9 N/ x
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
/ X/ D8 J! e$ R1 |! j$ o如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件' ~7 f& Z7 [% z
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
" u7 ]  E6 }7 zcacls C:\WINNT\system32\scrrun.dll /e /d guests9 }, r, J+ d! X2 g- J( o  q3 O" v
' ^# J( F: Y# E" g
( \* X# [5 t) H/ C
二.使用WScript.Shell组件
2 L. E/ K  J1 u$ C  ^
9 t4 y7 K" F9 S1 D
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.) V' B! \7 s# s  ?* Z0 m
' q1 z: @4 a# i( T
HKEY_CLASSES_ROOT\WScript.Shell\
5 n" G; W, @- Y. ]- r/ E
& K5 E  m3 `0 _: z+ SHKEY_CLASSES_ROOT\WScript.Shell.1\
7 t, T; X6 `+ ^. _' O7 O8 B改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
4 R) J* [$ T0 L2 F自己以后调用的时候使用这个就可以正常调用此组件了: K. |; h8 w/ e9 f$ ~) B
' X5 f) r  ?2 E; M, y4 D. k
2.也要将clsid值也改一下# [) \% e! v9 |+ m8 l$ y
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值4 z  o% Q' w& H, u+ D
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
# K( t5 ?  H* V" Y, y也可以将其删除,来防止此类木马的危害。( t& h% u4 @2 q7 K+ H5 r- |

9 y! A( P0 t; M/ _8 @) q9 |三.使用Shell.Application组件- ?  ^! }$ n* f" |& u
/ ]' k6 K# u/ k* Y" X
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
$ b& V7 @' b0 t  F) HHKEY_CLASSES_ROOT\Shell.Application\' T! Q# ^9 U# @9 Z/ I2 J
9 w" c8 W8 I* o$ X! w
HKEY_CLASSES_ROOT\Shell.Application.1\0 Z1 u7 j& a$ ]- p) D
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName$ m/ L, E+ H% u
自己以后调用的时候使用这个就可以正常调用此组件了, q+ C. J! ?" b( k* A; k
2.也要将clsid值也改一下9 K0 L1 K1 k8 T
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值% A/ d. i( z) C6 b" K7 m# o# F! E
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
2 w# b7 C  ?. k4 @' j: Z2 b也可以将其删除,来防止此类木马的危害。
) ^- p, }" g$ Y6 v2 I; f5 ^5 L( I/ j' o5 t" ]
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
1 a9 {- e( ^( v' ~7 {7 U; G* Zcacls C:\WINNT\system32\shell32.dll /e /d guests
# r# I# `: e0 l# L) z) {7 i& u9 |, H

& P+ \- J1 n1 K( B四.调用cmd.exe
, n$ \$ b! h/ y3 I& n, y1 B

/ M9 s3 Z2 _- k2 l% i' P* L禁用Guests组用户调用cmd.exe命令:
' Q! O3 _$ u+ ~- G; [6 u9 ncacls C:\WINNT\system32\Cmd.exe /e /d guests3 }) e" f  e7 {" r5 d3 P- K

( Q; w1 {8 e& B+ B+ Q( f+ V& F! a9 {4 C1 v2 ~. l
五.其它危险组件处理:
! y6 ?( O+ r+ i

5 z2 ?" [  h  @$ IAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) . ]6 p% T9 P! \; u$ T
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)( p2 u( t$ V8 s5 O& D' D, W
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
6 ?# T# d; G8 ]5 t( d

/ t# v( `) u3 I6 N3 h! p; r6 w# f; h9 C$ z0 O
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
, f3 b" f) g* ~% B
3 J& G3 s9 g- qPS:有时间把图加上去,或者作个教程
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

我本机测试了下
6 b2 N* y, f' U9 K" L; N) j# z4 O8 E/ N. Z' \- }0 S
如果更改了相应的组件之后,ASP木马就完全打不开了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

有控发点图上来对比下
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

哦 学习了  知己知彼方能。。。。:)
10字节写啥

TOP

学习了……:D

TOP

发点图比较容易吸收。。:lol    不过这样也行。

TOP

谢谢楼主分享技术。。

TOP

返回列表