|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
* m: V6 K7 |! H* w( q) z1 ^
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)' G! t4 L, c5 W# S: X! k9 G
信息来源:3.A.S.T网络安全技术团队
2 E7 r" M6 G, X3 x- j8 B- E+ _+ A防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.2 U/ E1 l1 v2 e' r3 P
FileSystemObject组件---对文件进行常规操作.: @* e' P+ ~! m
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
6 S B, e x, A- N% G# K) HShell.Application组件--可以调用系统内核运行DOS基本命令.
K6 G6 j; _+ \- y1 M
: J( _1 q% ]0 Q( d一.使用FileSystemObject组件9 M# y( f) a, j) Z5 o
. h+ p$ v+ C$ x* f8 [1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
2 a7 V3 W8 s0 G: a8 \5 Z: u* zHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
2 x. E9 o8 Y$ h* h' J改名为其它的名字,如:改为FileSystemObject_3800
$ l1 k; P* M" a$ V8 q自己以后调用的时候使用这个就可以正常调用此组件了.- E( b |6 o8 L
2.也要将clsid值也改一下
9 `( C) Y( Q& j( D$ o1 d# m6 OHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值- \ b! v. T5 j# D+ @
可以将其删除,来防止此类木马的危害.* J ^& P5 w- b' N) C
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 6 _: u5 v* @! T
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
7 u ?) F2 P0 p. A* u" o# W' o4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
$ U" [0 w8 a( M9 h! \6 kcacls C:\WINNT\system32\scrrun.dll /e /d guests i4 o6 J/ T3 S! T! q
0 b5 b6 R5 ]% Z3 Q
二.使用WScript.Shell组件
5 j- T. F" F# N& Q9 O
+ A. D( Z# Y% ~: t4 O& b1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.' I- Z- r7 }* } W! v; c
M) ^8 a$ y/ W" E
HKEY_CLASSES_ROOT\WScript.Shell\
& ^: f- s1 _: g0 p' E) N, e3 J及
, {7 E7 f6 h9 [5 THKEY_CLASSES_ROOT\WScript.Shell.1\7 N2 k/ Y7 W0 v* E3 X
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
% s' u- I: g, Y5 z自己以后调用的时候使用这个就可以正常调用此组件了
, U! O+ s) r4 b; v3 i0 X1 M8 K/ g0 ?
5 |2 }. F( Y4 [$ E2.也要将clsid值也改一下/ m. i/ }- @/ R6 t( y* j& C
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
& B- I$ N- I) o2 x' b) u( AHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值2 k$ R( }8 l, f- E, G- W
也可以将其删除,来防止此类木马的危害。' k% m4 g6 B, @8 d j/ f
三.使用Shell.Application组件
$ |8 ^1 _: \1 \) k; _ # m$ a# v/ S( L6 D$ N& v o
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
8 B+ E# `% w/ g/ {0 L4 J* UHKEY_CLASSES_ROOT\Shell.Application\$ |( a6 b; T% `- n) | X7 F
及
% O2 T( V# U; T VHKEY_CLASSES_ROOT\Shell.Application.1\4 I7 c1 j" t9 e5 }, Y0 G9 K
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName+ o: p5 c# q4 W+ v6 i$ C& E
自己以后调用的时候使用这个就可以正常调用此组件了* ?) P+ \% D7 g( f/ R. p
2.也要将clsid值也改一下
; g. Y$ d' i8 _- }! qHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值% A3 W! A) p9 p# j/ c
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值& R7 E+ V# A2 i- l
也可以将其删除,来防止此类木马的危害。
, ~9 N0 m1 ~* d. w- B$ N4 y0 O0 N: T* Z
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
' R+ H" _+ R" B/ o$ \' e/ d3 Y& gcacls C:\WINNT\system32\shell32.dll /e /d guests! L1 U( c' Y& _5 u" U/ E$ j
+ i S+ B8 }$ N四.调用cmd.exe
9 R$ r! U, A8 S; p! i% E$ ?
8 ]4 J* `4 w0 P) B禁用Guests组用户调用cmd.exe命令:0 e: C# z7 n, J3 s
cacls C:\WINNT\system32\Cmd.exe /e /d guests
( x+ r7 ~/ F; o% k$ N& Z
# Z2 a- a5 e2 J! s% i9 ~. C+ z6 e* A- w- I
五.其它危险组件处理:& ]' O, G% B# j7 x3 B2 I# z: T$ W
' x; {) `3 J* L, s: IAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 3 a/ H3 U6 L: ^) \( {
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
2 S5 @- o. u9 ?% ~9 R! J7 JWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)3 i/ f; R" g: j& U! z: p2 F2 O& I
% j6 y1 B- O1 T9 j4 z# t) o
, T& U, z7 M7 f' W {) R按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
8 ]: Q) Z" P5 e b! ^
* f6 a, L8 s. ^7 t0 L0 Y/ oPS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2012-5-16 00:23
| 
发表于 2008-11-3 22:10
| 