|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
" s A! W* s+ d! ~) F
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn): A! }( e, n+ O$ a$ U! g5 G
信息来源:3.A.S.T网络安全技术团队
6 ^; I/ M0 G2 G6 |3 ]4 U) C防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
) I# m* G- ~, A" G" q2 @+ jFileSystemObject组件---对文件进行常规操作.$ K: t# x. v) w. v! X* r+ |1 V; `# v
WScript.Shell组件---可以调用系统内核运行DOS基本命令." D+ J/ ^' u2 E/ S# S7 K) A
Shell.Application组件--可以调用系统内核运行DOS基本命令.
, y/ v, R0 L/ B) q) F. x, K9 l
/ k- k# L3 N# V \5 d' W2 V( H, g一.使用FileSystemObject组件8 c* w7 g1 w& d
. g; B# o' I9 T R1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
6 ~# N9 j A" B# `HKEY_CLASSES_ROOT\Scripting.FileSystemObject\5 p! I0 ?6 W7 }# J6 \
改名为其它的名字,如:改为FileSystemObject_3800
% Z% @5 R5 f2 J6 L自己以后调用的时候使用这个就可以正常调用此组件了.( P' r' M \. J, F4 `! E5 N6 n5 U
2.也要将clsid值也改一下
/ `4 S& @0 j! Q. |HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值4 Y+ u1 m, O/ N$ X- e2 w
可以将其删除,来防止此类木马的危害.
5 H' ]3 @" u& ]0 x* U$ V3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
y1 ]7 o# R3 a+ K9 Q如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件0 y6 H! m7 J1 _8 r3 h) B
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
' C+ y+ [9 P( D2 y U/ C- W1 mcacls C:\WINNT\system32\scrrun.dll /e /d guests
# j! V" I; p) N! |5 u" W% h. d
7 W* L2 P0 _9 I& u二.使用WScript.Shell组件' v* b5 X- C( C X
0 U) M0 \ P" O& M, ~
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.* l2 N9 u0 X2 C, S* r; m1 }
) M- g2 A! m, z" ZHKEY_CLASSES_ROOT\WScript.Shell\& q4 ]) g J3 D& m+ {. {! t
及5 h0 B$ h2 D9 P: f! U
HKEY_CLASSES_ROOT\WScript.Shell.1\
^# [1 n+ q+ _+ c# p9 |. Q# M改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc4 f/ R3 n3 ~2 Y. q2 g8 v
自己以后调用的时候使用这个就可以正常调用此组件了
5 z/ M3 d& m. o3 m" u: |; `5 k7 O n" A0 L% i1 _
2.也要将clsid值也改一下4 C! u( E; s8 Q/ q! L# F& Z& r ?; H
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值& e5 a7 l# T9 d, _1 F' Q% |6 q
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
2 n; i7 c! V) j也可以将其删除,来防止此类木马的危害。2 i( i9 Z6 h+ A
三.使用Shell.Application组件% a8 f2 M7 P- G! X$ E
2 N* {+ Y5 {) a5 B/ d& t1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。2 V7 q3 x! w# ]- t
HKEY_CLASSES_ROOT\Shell.Application\
; r! e* `" w/ E1 w) x及
4 Z3 Y* d P" o- MHKEY_CLASSES_ROOT\Shell.Application.1\
! L* R; d5 P/ k8 U% @" d改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName' Z( Y/ w# r9 [# ^7 ^ C
自己以后调用的时候使用这个就可以正常调用此组件了5 [ ^1 M/ p" k( {* B) k9 |+ g
2.也要将clsid值也改一下
/ Y9 a$ m5 u2 L; v! JHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值; o% E3 e' m' N; m) Q X4 ~ \/ H, V
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
$ j# n- H9 J' \4 L# N3 {! e也可以将其删除,来防止此类木马的危害。4 L; S3 W/ S1 E% U' v& B2 B. [3 Z
, i2 I2 e0 A+ l3 J; ]1 \4 _$ t* t3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
+ @# t+ l% X. ^% l$ Ncacls C:\WINNT\system32\shell32.dll /e /d guests
3 F! p& L3 K7 @" O, ^- }! H& Q
四.调用cmd.exe2 C0 f, i9 v" r% P
P0 D: x' Z+ ^ p# W- [' a( o o
禁用Guests组用户调用cmd.exe命令:
& b: n) W6 \% I+ _. }- O% jcacls C:\WINNT\system32\Cmd.exe /e /d guests& H2 B, J' e4 I2 O9 {+ t! u8 K3 u
. J/ I% C. c V# E0 P" W" R1 N五.其它危险组件处理:
% t2 P% f7 b' _- ?" F6 [/ {) l 8 q2 T, r" T0 U
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 3 ^2 i" b( X4 K
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
6 m6 a+ K" U3 t) |WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)9 g5 Y1 W- M }# d/ [$ C
e1 A7 b# b, w: y5 }! `$ L; }
# D% n+ c( j, w* ?按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.3 a! A) m5 |. q A/ e
5 q, ^4 }! U9 S7 Y/ O' Y, aPS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
