|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
. f/ Z, s7 q6 Q- J
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)6 k$ G m/ ~- a- c6 n* g- |
信息来源:3.A.S.T网络安全技术团队, A( j+ [! a+ U4 p
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
% ^' d ?5 \ A) ]FileSystemObject组件---对文件进行常规操作.$ z5 V$ u" n& s9 f# {7 m- _1 V9 I
WScript.Shell组件---可以调用系统内核运行DOS基本命令./ n: T. p/ n5 R4 h) O
Shell.Application组件--可以调用系统内核运行DOS基本命令.5 N. k" U( D; x) a
! p2 p% O: V/ W$ E7 Y一.使用FileSystemObject组件6 E5 y& v! I- @, D9 a
9 Y, S, B: f- q" R+ s
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.& r% k6 I" b! w$ f5 V1 s
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
6 B& ?: x8 G$ L, a; v0 v改名为其它的名字,如:改为FileSystemObject_3800
7 }. A& x1 n7 G& J2 n' W自己以后调用的时候使用这个就可以正常调用此组件了.) b# J$ r1 X7 L, W; C) I
2.也要将clsid值也改一下 W' m: P0 K; {7 F2 U
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
& n; C6 H, I* Z6 H. i$ N& q) |可以将其删除,来防止此类木马的危害.
% X. Z- z* i2 d" W' O9 l3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll : i8 c/ z2 v7 N3 j+ P' j8 K. _
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件3 o' j0 o2 x( Z( ?2 b3 S! s; t
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
5 i5 f$ X3 D; kcacls C:\WINNT\system32\scrrun.dll /e /d guests
& l- g( n: H5 d# o) f7 ]
: U/ `4 a# ]: \1 t! O6 T二.使用WScript.Shell组件
% W+ o$ w8 c2 y5 V $ `8 P/ [/ h. @3 P! A+ h5 D2 }
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害./ W- g/ ?$ T {" Y% B0 b) `; {
) B9 ?# n8 G) K# Z2 U
HKEY_CLASSES_ROOT\WScript.Shell\
. o/ L9 l3 N, t及
8 e9 g/ K6 w; [6 VHKEY_CLASSES_ROOT\WScript.Shell.1\ F2 D9 x. G: j* T) `4 C
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
/ U/ P/ m" j0 I9 E自己以后调用的时候使用这个就可以正常调用此组件了2 F. F5 o( s7 O! U7 Q
% w* Y) u0 H3 U2.也要将clsid值也改一下; c4 e6 P+ h$ ~; K
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值% t' O3 r. o- j
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
& n0 S9 g1 h# X" t也可以将其删除,来防止此类木马的危害。
* X7 c+ }% _4 t( B
三.使用Shell.Application组件) Y% @9 x/ a7 m
" }" F! v8 {* P2 g" F
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
$ d1 F5 i$ x- E Q4 pHKEY_CLASSES_ROOT\Shell.Application\9 b+ Q5 P) a7 D6 m0 W. j
及
* P8 d9 O5 B" m1 ~+ bHKEY_CLASSES_ROOT\Shell.Application.1\
" F0 h* A" a0 e9 a2 A2 R改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
0 y$ m9 J0 F) P# w6 L4 e9 w自己以后调用的时候使用这个就可以正常调用此组件了
5 l, c" ^- p" N1 k( `' z2.也要将clsid值也改一下5 ~. L$ F4 t( p* {* ?$ ^
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值( \/ z! W. {7 E
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
( ?! i8 t* ?" ~5 D也可以将其删除,来防止此类木马的危害。$ \+ I+ G; s' s6 }4 h! J
! i4 t2 ^+ ?( N# a
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
2 e9 f& F+ w" `cacls C:\WINNT\system32\shell32.dll /e /d guests2 ~5 I+ s4 l: a- g
+ B- \) x" W+ }+ C+ S$ X/ e4 i四.调用cmd.exe6 W. [/ E- t" l9 E
5 ]& {' i) I$ ?; W; i( s1 Z0 u. @禁用Guests组用户调用cmd.exe命令:6 w0 G' Q$ R8 o, e
cacls C:\WINNT\system32\Cmd.exe /e /d guests9 L; n, S4 a+ [5 m- g2 A2 J
4 U! ^" l' G6 z0 N# f& V0 c
五.其它危险组件处理:& g: j7 H J- ]( X% g
! Y* {: L2 i. G5 w8 r7 ~, x2 jAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
# j7 A1 i7 [( P/ v1 NWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)3 P" p5 ~7 J% G2 A+ O9 O5 Y3 N" m
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
: V1 e% }4 o8 F. _: s" T* t! E
2 p* `* P, ?3 `# Z1 F$ T+ j
- R* Y. u" n+ H- G T5 h3 K( Z" O* v按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.) L4 K; [& Y2 I# H" d( A
& n& [; D2 l+ t. r4 B. O; ?& Z4 ^PS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
