|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
Y4 B9 Q: T$ _& J/ m& ~
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)+ P! D3 h( T& u( X/ f N
信息来源:3.A.S.T网络安全技术团队% I1 g0 O0 k6 {' c' M" o+ T& @, N
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.8 [, u6 e0 S. Z! F4 p
FileSystemObject组件---对文件进行常规操作.
6 B! W% V1 Z- K* V/ _! bWScript.Shell组件---可以调用系统内核运行DOS基本命令.5 W/ K2 G) F8 {" s; m% @& X
Shell.Application组件--可以调用系统内核运行DOS基本命令.
! ]7 T- E6 g! n: u- `% I- H4 i
一.使用FileSystemObject组件2 Y6 {& Y" e0 S, I$ g6 Q) m
/ Y. o% B5 H9 o% Y( c
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
/ E8 \( F$ k: m0 r$ L( l( ^HKEY_CLASSES_ROOT\Scripting.FileSystemObject\9 K" M! p/ l/ L1 N) _$ _" f- j
改名为其它的名字,如:改为FileSystemObject_38009 ^" D$ ?5 {% Z w% ?
自己以后调用的时候使用这个就可以正常调用此组件了.4 ]8 u, q* [) x4 Z7 u1 _
2.也要将clsid值也改一下
% I6 s7 w5 i VHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
7 S' A6 k, l/ ^( z( P可以将其删除,来防止此类木马的危害.
% D7 X8 V0 \* {6 t/ c/ w0 h+ z3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
! x2 i9 [% B8 i6 t+ ~3 M如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件7 T6 ^, y# w7 `! n
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:6 i0 O# A8 e4 b+ D6 h3 J/ |2 k$ w
cacls C:\WINNT\system32\scrrun.dll /e /d guests d. j: @: y$ _, x
* q& d4 \/ D' n. P; r6 O, D8 a0 A) f" [3 |2 y
二.使用WScript.Shell组件
2 n3 P2 Q9 H# G" s! W) F: F* P
9 u8 a4 K# U) n: @( J1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
5 s$ X- n9 {+ {. P6 s( `. ?5 `
6 w+ N2 I% v1 H$ g% ]HKEY_CLASSES_ROOT\WScript.Shell\
, @) y) C+ l9 e L及
) S* O \1 L5 h- vHKEY_CLASSES_ROOT\WScript.Shell.1\: i4 D- O" B3 k9 s7 _- `$ ]
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc; O. R( `! M7 [6 A7 V9 C9 e. V
自己以后调用的时候使用这个就可以正常调用此组件了
& u& W7 w( @! I, p2 J5 G+ k; w) u7 i5 \5 z* C
2.也要将clsid值也改一下
* s3 `) Y' p7 ~) [& ~5 W8 rHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值( t# J+ r+ [* Y, Q, K9 A' P
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
5 i g. }$ s, w: B也可以将其删除,来防止此类木马的危害。
* u* b" Z4 ]1 x; i
* u7 z- e9 z' D0 w+ H2 J三.使用Shell.Application组件3 a0 w0 P% A3 S* ~3 D C
; q) Z7 q- \3 b9 b- j1 E
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。* g3 I E8 q: j6 q/ x' }- Z. y
HKEY_CLASSES_ROOT\Shell.Application\' X% R; Z$ u/ J, R1 J j" z
及
: ?4 b! v m. THKEY_CLASSES_ROOT\Shell.Application.1\0 x" a$ P6 L& y) w5 V
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName) p' ]/ Z# t! }; U
自己以后调用的时候使用这个就可以正常调用此组件了9 e8 Q5 V% Q# m
2.也要将clsid值也改一下
5 X. d, M/ B+ i( A2 q$ mHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
$ I2 ~" a8 q) z9 }( cHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值8 c% h8 G5 G3 Y1 r! M b' U/ I
也可以将其删除,来防止此类木马的危害。
8 U, Z- a% U1 g6 f3 i% k ^" \4 S/ _+ d( r; w; O1 t
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
2 E0 D% J* w5 R# v' H8 N* b- ecacls C:\WINNT\system32\shell32.dll /e /d guests0 B1 H+ f0 ~5 c7 @5 g4 I
四.调用cmd.exe( L* z; A( h) J9 l# R
6 k' H9 i+ i9 U' l/ `- ^禁用Guests组用户调用cmd.exe命令:$ E2 V" ^1 a" ^; z _8 U8 S6 L$ \
cacls C:\WINNT\system32\Cmd.exe /e /d guests. r l2 l3 F% B( ]& N5 Z* n
$ E$ e1 V6 G1 C3 H. u/ D
7 J, h$ E; h5 P+ [五.其它危险组件处理:) H" D1 B* i" W5 d6 j3 p
, g; b& Z \7 VAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
: [: A' b2 P F$ A- V$ JWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
* n- a( ^6 l: W1 a8 yWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74). Y; A0 |; C I, |, x" V
6 ^. T7 L( r, D, ]( D6 |" c. T2 I I* F. A1 T$ ]) ]0 U
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.: n9 M9 e/ f. Q- A6 ?0 R
; z K c* l% m* ]4 b- g( APS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
