|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
' \4 `5 E4 O0 G7 @& B( W原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)8 A. A$ U4 P4 q9 R
信息来源:3.A.S.T网络安全技术团队
7 |$ `( z; C+ S1 k S: o防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
+ |& n2 K5 D4 t- h( \4 W" k. Q! CFileSystemObject组件---对文件进行常规操作.
5 o {6 B/ z4 E# ~' W5 EWScript.Shell组件---可以调用系统内核运行DOS基本命令.4 y4 R$ V, H) ^7 n! n+ u! x
Shell.Application组件--可以调用系统内核运行DOS基本命令.0 ~5 m( ]. s5 z! v0 k5 v0 t
0 @2 x5 p3 Z% f: y* b; k一.使用FileSystemObject组件- c5 b- E0 h8 I
8 b! s8 F6 m- s$ D1 Y1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.$ j+ Y G9 P, ^4 _+ z& e6 u
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
# T, {7 h, f& G: T改名为其它的名字,如:改为FileSystemObject_3800
/ c5 |$ y6 [- Q6 c) i; K2 U自己以后调用的时候使用这个就可以正常调用此组件了.' [# J# w2 \4 Z
2.也要将clsid值也改一下/ \$ D S5 r4 Z3 `/ G
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
) {; w% y1 H( h( K# T% r6 p可以将其删除,来防止此类木马的危害.
5 e7 ^2 G5 O) J# C3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll , B0 R8 I( a. i: ?5 }- k+ G+ J
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
; m( S4 T6 D" c, ^4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
* E& R7 q3 B* b, _, mcacls C:\WINNT\system32\scrrun.dll /e /d guests; b, }! W; ~% h) @5 g
/ A6 e4 t( p N' T- _
二.使用WScript.Shell组件9 K( M. m: I3 O6 N9 F
1 E0 \/ t; A* m: C, d& ]3 N6 d5 l
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
: A- D3 ~8 I e# }; }$ v* ]* z; v* ]& u" O7 W9 r, k& @ l, A& L
HKEY_CLASSES_ROOT\WScript.Shell\! n+ Q1 n$ X( D, d5 X& z( d
及
/ w1 h9 b) q4 E8 c) P3 t R3 XHKEY_CLASSES_ROOT\WScript.Shell.1\1 l0 U/ Y6 V/ o! d8 O) _
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc5 e: p/ C$ f! Y l2 a
自己以后调用的时候使用这个就可以正常调用此组件了
! L6 x5 c$ y2 Z' `7 `2 J6 b7 W
3 L( m! m& a" [* ?2.也要将clsid值也改一下
. ?9 G8 }4 N* w+ f7 D$ {HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
! F M6 G$ d/ P/ N& KHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
4 b* G$ e$ p8 J也可以将其删除,来防止此类木马的危害。1 M2 w1 N+ [/ g' f2 N4 S
三.使用Shell.Application组件
% o' n0 \2 |2 |( r3 F R. W ) |* E6 R8 g6 Z0 T) F
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
$ s& o2 p3 N" \5 DHKEY_CLASSES_ROOT\Shell.Application\; R o1 X: l. O# V! |
及
2 R- o" I+ T, Q. T1 L5 o- K1 E! {HKEY_CLASSES_ROOT\Shell.Application.1\
2 R9 z# b: Z& ]' F0 |! {: h s改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName1 o% v" i' h% [, y& A0 A
自己以后调用的时候使用这个就可以正常调用此组件了
5 ]% V S9 } L2.也要将clsid值也改一下
( s9 R+ R+ H: Z! q! |HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值8 V; ~+ Q' w8 [4 h; T1 W( G
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值4 k# Q/ L$ Z" {1 T0 w9 |$ s4 N
也可以将其删除,来防止此类木马的危害。
. L, I+ A6 z( {9 |! u3 B: M& ]
9 K3 b9 I& R$ }4 T3 s3.禁止Guest用户使用shell32.dll来防止调用此组件命令:1 X. V6 K6 t2 r
cacls C:\WINNT\system32\shell32.dll /e /d guests
" k! J8 _ c" T# x: j# x
四.调用cmd.exe% H, Y& t2 s G% v l- Z
% T/ w$ Q: C$ f' {1 t
禁用Guests组用户调用cmd.exe命令:2 L6 H8 w5 Z$ {) j% T+ a; A
cacls C:\WINNT\system32\Cmd.exe /e /d guests
$ q+ j3 o0 L6 ]% k1 i9 ~! p
5 ^, Y6 f/ t \2 R+ X: {" B5 P五.其它危险组件处理:
. R m6 Q/ | }- S) S
' S. t( b* L; C8 nAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
( W9 A- U, k% T" T' bWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74) ]0 V7 I5 Y+ K U1 Y
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74): s1 }+ t9 |/ @$ e; U
& H8 a" `- n* z2 N* f1 O% B f- U按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些., D1 A9 P) J" r _/ l L
e: J0 L! L, {1 W9 Y: d$ c9 nPS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
