|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
5 @) J y; {, y/ {/ J) l/ D+ D/ }. \
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)4 A6 }3 x; }! Q( ]
信息来源:3.A.S.T网络安全技术团队0 V6 X/ K* L; ] w& M$ h( U% s
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
( G( u6 q1 l+ @" YFileSystemObject组件---对文件进行常规操作.4 \$ n. q9 H1 w6 y# Z2 _
WScript.Shell组件---可以调用系统内核运行DOS基本命令.: x0 X: O3 M; n4 h
Shell.Application组件--可以调用系统内核运行DOS基本命令.
7 r9 G) ?+ b( ~0 w- ^' r- r6 L7 X4 l7 g1 K% f" j- u
一.使用FileSystemObject组件
& |$ x# `' \; m) _4 s4 R# T( L( P ; v0 T. [: T4 l% g! \5 g
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.5 p2 l2 p3 X! X% H X
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\1 Q D$ p. i, e% w- M
改名为其它的名字,如:改为FileSystemObject_3800
% t- a, C% {* E7 I1 j% b自己以后调用的时候使用这个就可以正常调用此组件了.6 H, [9 F2 k+ }/ b: n
2.也要将clsid值也改一下
L6 ?: d* B! BHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值 {$ d# v; Z( Z! J
可以将其删除,来防止此类木马的危害.( ~. E' C6 v; y7 k" ~- K* R7 r3 r
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 5 Q: n* E/ j3 Y. t& e7 Z; [, q5 \/ F6 I
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件; f L5 ?/ v3 A# i
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:' h4 ?$ p5 N0 `
cacls C:\WINNT\system32\scrrun.dll /e /d guests
# O& J( L! g: G1 x
4 u1 f3 t! C; B* X+ q$ ]$ S
0 M! i6 R# q3 z) O0 k" b8 o二.使用WScript.Shell组件
# W( D' ]4 }* _9 \0 j1 n/ g1 P
. I5 e: O! |! B. k+ t/ U% n1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
, m0 c7 r& W9 p9 |/ M8 B9 V, E
HKEY_CLASSES_ROOT\WScript.Shell\
) v5 Q L6 p7 B2 O, z( W" P及
0 G7 H; J+ u6 d# y. FHKEY_CLASSES_ROOT\WScript.Shell.1\ w" \+ @: ]1 W- `* I# ?5 k
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc) L+ e s' l, ~' N
自己以后调用的时候使用这个就可以正常调用此组件了- i3 r8 E9 |( j7 R, b
4 n, a, |7 F" L, F2.也要将clsid值也改一下 Y1 H% N/ q W. B) h( ^
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值, ~, R/ Z7 V, Q5 H
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
5 X1 ?( q! R) d. V% W/ @也可以将其删除,来防止此类木马的危害。
7 x" m. |7 Z3 z4 {8 @
三.使用Shell.Application组件
1 e8 k+ L7 I5 Z# ?0 X+ e 3 M" b4 x; B0 [
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。2 k+ W$ G+ j0 y/ @
HKEY_CLASSES_ROOT\Shell.Application\5 x3 x0 M ]% |# H6 c4 M1 Z2 \7 v9 j
及% k3 \$ _- a* p! A3 x; ~
HKEY_CLASSES_ROOT\Shell.Application.1\
4 ]. {* @3 W: J3 V改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
7 E1 r% a7 _4 D自己以后调用的时候使用这个就可以正常调用此组件了$ x' x! [( B2 L' Z3 y
2.也要将clsid值也改一下
) J) O" c) u* q5 _8 vHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值6 B% u5 V% [6 n/ N
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
2 e/ O/ ^3 g6 ^# E9 `也可以将其删除,来防止此类木马的危害。% a5 U: w0 k9 O% B Q. C% f
; k: P4 T9 x$ C6 v3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
0 V' O7 ?' [! f0 l! M2 pcacls C:\WINNT\system32\shell32.dll /e /d guests& Z6 k1 ~ P+ T9 f
. ~) [8 ?1 E8 V1 @# P6 {5 o! G4 `( ^四.调用cmd.exe1 J* c) K4 z( Z1 i6 Z8 ~0 D
& q. q9 t% M7 z2 q1 f
禁用Guests组用户调用cmd.exe命令:
' r4 d( U2 Z5 `1 hcacls C:\WINNT\system32\Cmd.exe /e /d guests
& O# @( z2 F. N3 B
9 n: @: A6 Q; j5 v$ e* }( o3 b/ Q+ i9 |* U8 B3 s8 g% L5 ~
五.其它危险组件处理:. T5 y! k, D4 I5 [4 b v& U
) C; n/ @+ i1 Z, j) [Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
7 _& \2 p8 Q' j! q: BWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)# U0 u! ~1 r$ @$ k/ D
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
# W5 f2 E2 K8 B4 l0 G) V5 T" R
# b) e, Q6 C5 f3 z; o- S0 d
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
1 s' n: Y' N/ N* H+ A9 f' U, [7 B3 `- ], X( @
PS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
