    
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
8 X& ?; j% R' ~% r. A
& a) g3 p0 G+ s% o, N0 m! i" Z原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)0 P: C5 J3 }# G3 S0 W; k) R* A
信息来源:3.A.S.T网络安全技术团队# Q0 p. P0 u2 Q% G
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.6 J$ _2 Q5 A o
FileSystemObject组件---对文件进行常规操作.0 J h6 K9 d; R' P' Q; a1 R
WScript.Shell组件---可以调用系统内核运行DOS基本命令.5 P7 Q1 E1 d% ?4 u6 g" a2 L) R
Shell.Application组件--可以调用系统内核运行DOS基本命令./ G) b6 n& `+ p! j5 A$ p8 x7 [
, H, X2 v# H" B" F# k& q
一.使用FileSystemObject组件, X& W# l2 a5 w( Z! f7 q
* W$ Q- u S9 _( _5 @4 i R1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.8 v( L* H% F/ y" ~5 }
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\# I; M/ K" i$ T% X: D# n- ~
改名为其它的名字,如:改为FileSystemObject_3800$ T5 u& y, y5 Z
自己以后调用的时候使用这个就可以正常调用此组件了.
8 D6 O' P) T; T4 |- U: b2.也要将clsid值也改一下2 B+ I; D9 G# p W; \4 Q+ L9 W
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
( q' P; x" X* x! D可以将其删除,来防止此类木马的危害.
1 i% o$ y' r! U5 o: p3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
# A# }5 L4 \- ]" y [7 v* V如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
z3 U' d1 w' r+ P; R# P9 X* d4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
7 E& ? }8 b, m% e$ U+ j% `cacls C:\WINNT\system32\scrrun.dll /e /d guests
4 B/ W2 }) c# p4 r' ^" X
9 B! T& }1 K3 y0 Q! o% M' W5 }5 v+ Q) I" {& ]
二.使用WScript.Shell组件: w) c4 q' K, F0 A8 i4 g- x. H
$ Z4 y" f* _) W, k* w
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.3 L9 `* ~6 L, \3 V/ _: Z- o
2 l. p [$ f3 u' K* k
HKEY_CLASSES_ROOT\WScript.Shell\* Z* a) f9 T# _# b) s
及: \# P G: ?/ W6 R) R: u' r* K
HKEY_CLASSES_ROOT\WScript.Shell.1\
6 c2 B2 y( `/ ~改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
# T* M$ i% ~5 H5 T8 ~' l' A5 x自己以后调用的时候使用这个就可以正常调用此组件了5 @/ `3 |4 U l; O: N. L7 K7 F3 w
" Y3 o# O3 E- d9 C
2.也要将clsid值也改一下% h# F; n8 x% D, i6 e
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
9 {0 _8 U0 p; _5 l: e- ?2 pHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
R2 X) Q( x- m; l5 V0 u& ]也可以将其删除,来防止此类木马的危害。: r! N5 y- J& q8 l0 N5 ?
. g6 v& X3 y( ]7 ~! b9 t/ ~- }三.使用Shell.Application组件
! C7 w( S/ G9 I. m7 s% h, A9 i4 a - ]2 x( V( T. x( r8 `7 n# `
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
Z$ p4 u& ]4 e- ]) ~/ H" h0 @7 A# QHKEY_CLASSES_ROOT\Shell.Application\& J3 F" ]; X/ G. j. K5 N
及
6 N% }5 H2 Q% W+ a5 j0 a0 c2 xHKEY_CLASSES_ROOT\Shell.Application.1\
0 i- j! S6 j) q) P& G6 _9 r5 d5 T+ a& V9 J2 I改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
3 v$ t7 R3 |, @5 U$ Q8 j自己以后调用的时候使用这个就可以正常调用此组件了1 n9 U" U% p0 r! }
2.也要将clsid值也改一下
/ a# R4 s- D( D) f1 B T5 L2 g7 zHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值% l1 F# ?; l! s: h/ V! j0 M2 i
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值- N' F9 d* J8 S1 C4 V# B; L
也可以将其删除,来防止此类木马的危害。, i4 _9 a5 N! }
* R0 L& M4 K8 c. ^% i* v- j
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:; |% {, T1 \# @6 W7 Z& ?7 j; c8 U
cacls C:\WINNT\system32\shell32.dll /e /d guests m8 O4 V5 q) o ' L, ~( {# s y
四.调用cmd.exe0 ?/ A7 G# u9 E, ?
& O+ S% ^- }4 M" U& @禁用Guests组用户调用cmd.exe命令:
; U% F, p; Y; O) K) pcacls C:\WINNT\system32\Cmd.exe /e /d guests6 P5 h A; M: r5 t C# H+ r" x
/ X0 z9 U% J P, O. W% o
t5 m$ z' {4 R; |$ w五.其它危险组件处理:% t! R( u0 z3 l$ J
! K' {: o- a0 b- j, nAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) * R( w- P& g" G/ k4 q2 H, s! r; \
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)# c* v1 r3 {" H e$ J
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)7 T$ e; }$ n+ g9 L+ B" o
$ v0 G5 W3 f" q5 P; c6 c+ d( a( P; |$ f, h& ?
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.# C$ X! @1 s" \- O, U; g( K4 o# N+ P
0 [: S+ }. v9 ?7 h! \PS:有时间把图加上去,或者作个教程 |
|