返回列表 发帖

[原创文章] 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看

5 @) J  y; {, y/ {/ J) l/ D+ D/ }. \
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)4 A6 }3 x; }! Q( ]
信息来源:3.A.S.T网络安全技术团队0 V6 X/ K* L; ]  w& M$ h( U% s
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
( G( u6 q1 l+ @" YFileSystemObject组件---对文件进行常规操作.4 \$ n. q9 H1 w6 y# Z2 _
WScript.Shell组件---可以调用系统内核运行DOS基本命令.: x0 X: O3 M; n4 h
Shell.Application组件--可以调用系统内核运行DOS基本命令.
7 r9 G) ?+ b( ~0 w- ^' r- r6 L7 X4 l7 g1 K% f" j- u
一.使用FileSystemObject组件
& |$ x# `' \; m) _4 s4 R# T( L( P
; v0 T. [: T4 l% g! \5 g
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.5 p2 l2 p3 X! X% H  X
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\1 Q  D$ p. i, e% w- M
改名为其它的名字,如:改为FileSystemObject_3800
% t- a, C% {* E7 I1 j% b自己以后调用的时候使用这个就可以正常调用此组件了.6 H, [9 F2 k+ }/ b: n
2.也要将clsid值也改一下
  L6 ?: d* B! BHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值  {$ d# v; Z( Z! J
可以将其删除,来防止此类木马的危害.( ~. E' C6 v; y7 k" ~- K* R7 r3 r
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  5 Q: n* E/ j3 Y. t& e7 Z; [, q5 \/ F6 I
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件; f  L5 ?/ v3 A# i
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:' h4 ?$ p5 N0 `
cacls C:\WINNT\system32\scrrun.dll /e /d guests
# O& J( L! g: G1 x

4 u1 f3 t! C; B* X+ q$ ]$ S
0 M! i6 R# q3 z) O0 k" b8 o二.使用WScript.Shell组件
# W( D' ]4 }* _9 \0 j1 n/ g1 P

. I5 e: O! |! B. k+ t/ U% n1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
, m0 c7 r& W9 p9 |/ M8 B9 V, E
HKEY_CLASSES_ROOT\WScript.Shell\
) v5 Q  L6 p7 B2 O, z( W" P
0 G7 H; J+ u6 d# y. FHKEY_CLASSES_ROOT\WScript.Shell.1\  w" \+ @: ]1 W- `* I# ?5 k
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc) L+ e  s' l, ~' N
自己以后调用的时候使用这个就可以正常调用此组件了- i3 r8 E9 |( j7 R, b

4 n, a, |7 F" L, F2.也要将clsid值也改一下  Y1 H% N/ q  W. B) h( ^
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值, ~, R/ Z7 V, Q5 H
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
5 X1 ?( q! R) d. V% W/ @也可以将其删除,来防止此类木马的危害。
7 x" m. |7 Z3 z4 {8 @
: u* H( d9 \! R3 R
三.使用Shell.Application组件
1 e8 k+ L7 I5 Z# ?0 X+ e
3 M" b4 x; B0 [
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。2 k+ W$ G+ j0 y/ @
HKEY_CLASSES_ROOT\Shell.Application\5 x3 x0 M  ]% |# H6 c4 M1 Z2 \7 v9 j
% k3 \$ _- a* p! A3 x; ~
HKEY_CLASSES_ROOT\Shell.Application.1\
4 ]. {* @3 W: J3 V改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
7 E1 r% a7 _4 D自己以后调用的时候使用这个就可以正常调用此组件了$ x' x! [( B2 L' Z3 y
2.也要将clsid值也改一下
) J) O" c) u* q5 _8 vHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值6 B% u5 V% [6 n/ N
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
2 e/ O/ ^3 g6 ^# E9 `也可以将其删除,来防止此类木马的危害。% a5 U: w0 k9 O% B  Q. C% f

; k: P4 T9 x$ C6 v3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
0 V' O7 ?' [! f0 l! M2 pcacls C:\WINNT\system32\shell32.dll /e /d guests& Z6 k1 ~  P+ T9 f

. ~) [8 ?1 E8 V1 @# P6 {5 o! G4 `( ^四.调用cmd.exe1 J* c) K4 z( Z1 i6 Z8 ~0 D
& q. q9 t% M7 z2 q1 f
禁用Guests组用户调用cmd.exe命令:
' r4 d( U2 Z5 `1 hcacls C:\WINNT\system32\Cmd.exe /e /d guests
& O# @( z2 F. N3 B

9 n: @: A6 Q; j5 v$ e* }( o3 b/ Q+ i9 |* U8 B3 s8 g% L5 ~
五.其它危险组件处理:. T5 y! k, D4 I5 [4 b  v& U

) C; n/ @+ i1 Z, j) [Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
7 _& \2 p8 Q' j! q: BWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)# U0 u! ~1 r$ @$ k/ D
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
# W5 f2 E2 K8 B4 l0 G) V5 T" R
4 b6 Y/ g# ~1 H% X4 u# H
# b) e, Q6 C5 f3 z; o- S0 d
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
1 s' n: Y' N/ N* H+ A9 f' U, [7 B3 `- ], X( @
PS:有时间把图加上去,或者作个教程
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

我本机测试了下8 }- _& Q4 |& @; T: I. ?9 g% E% c: V
) @7 \0 w% l8 W+ Y8 `3 S. u* i
如果更改了相应的组件之后,ASP木马就完全打不开了
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

有控发点图上来对比下
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

哦 学习了  知己知彼方能。。。。:)
10字节写啥

TOP

学习了……:D

TOP

发点图比较容易吸收。。:lol    不过这样也行。

TOP

谢谢楼主分享技术。。

TOP

返回列表