|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
9 Z) x9 Q$ I; K7 V( i, D' ?- J7 {! q, |/ U3 W' Z# Q
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
$ p6 w' c2 L" | J) |+ |信息来源:3.A.S.T网络安全技术团队
3 K/ I/ c9 w2 F2 V+ a. F( B9 |防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.- r% p9 V7 f* i$ F; v" a7 d8 b
FileSystemObject组件---对文件进行常规操作.# p$ A' W3 |$ X7 H+ w* u) D* v
WScript.Shell组件---可以调用系统内核运行DOS基本命令.5 o: L7 l5 {' s4 A; L
Shell.Application组件--可以调用系统内核运行DOS基本命令.
9 m6 A6 S# V1 h8 r/ F: T/ F' ?
4 d7 [0 ]8 i) z' A. i: C一.使用FileSystemObject组件
. L: _0 _( e* c) w$ Y
3 r, B* X3 m; Q; i {1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.1 o5 j$ C+ i1 j- o7 W2 I# g
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
L8 `! b" ], N/ a L, [+ e! n8 l0 o改名为其它的名字,如:改为FileSystemObject_38006 T. ^- f( d1 P
自己以后调用的时候使用这个就可以正常调用此组件了.
' t* E9 {4 C0 ~2 P; @9 x$ F, |7 s2.也要将clsid值也改一下; N" o `6 S& ?' h; C6 n p, b4 P% ?
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
$ c& V- b7 R! D- L可以将其删除,来防止此类木马的危害.( c" ~/ i4 u8 J$ ~. b5 E# u
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
4 c i* u( _. I4 u: X8 Q1 P如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
/ V+ r N( ^& H& F. ^ p4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:9 e3 ^$ z/ }% Z: X% ~- r* s
cacls C:\WINNT\system32\scrrun.dll /e /d guests0 P, _3 n6 I3 B, R
7 \( Z- Q0 y3 D
' U4 {5 m; w4 C二.使用WScript.Shell组件% F" x% d( u) V/ A
' t8 r) ^3 W+ \; J5 ]- H' |1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.- J2 m; Z; Z4 B# H; m
- V4 ~ r4 M3 c) y
HKEY_CLASSES_ROOT\WScript.Shell\
8 }; c8 u% A$ Y o9 z及
0 H8 f; Y2 g" e, g n, ] q S& N, `HKEY_CLASSES_ROOT\WScript.Shell.1\5 K# `6 ]) i9 |% _! j- @, u3 D
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc" w/ Y# X6 ]) |3 w
自己以后调用的时候使用这个就可以正常调用此组件了
, g: ^, i+ g) Q% K1 K" D" u+ ]; d# d* o$ U0 C8 B4 ?
2.也要将clsid值也改一下
% l) m8 k- E' N( r9 U: aHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值% y8 a S' p O1 k
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值7 t. I+ `# B: |4 g; L
也可以将其删除,来防止此类木马的危害。7 A) \4 e" o* [! ^3 @7 h
三.使用Shell.Application组件. m3 x3 {6 v8 k" ]
+ E1 T |' @! Z% @# `" t. [
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。! Y J# m0 p7 {. y" r
HKEY_CLASSES_ROOT\Shell.Application\4 S$ y# G; e5 J; K1 {& ]; V4 ~
及
/ k( w# B% p: y3 w9 [HKEY_CLASSES_ROOT\Shell.Application.1\
% b- V5 i' ] d0 N" {% k改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName' A. h0 V4 |2 Q: P# d
自己以后调用的时候使用这个就可以正常调用此组件了
4 c1 R8 Q! f+ S2.也要将clsid值也改一下% U4 k1 H9 W# p, d& y, Q
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值- Y$ }. g$ |' {0 Y
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
9 l) x# A8 P* s2 r也可以将其删除,来防止此类木马的危害。
# W! d' f; ~+ @* N+ L Q! k& O
6 h) [! ^) m" U! b& j7 V3 p$ N0 X3.禁止Guest用户使用shell32.dll来防止调用此组件命令:( E1 q2 t. S4 C2 w$ L
cacls C:\WINNT\system32\shell32.dll /e /d guests
0 P% [/ \& i ? L% K6 |. G
5 W/ y& q1 R* h* H四.调用cmd.exe
0 D, X- _# y# o * d# y6 T! }2 V- r& G8 _ c
禁用Guests组用户调用cmd.exe命令:9 ]0 V3 G' Y1 {
cacls C:\WINNT\system32\Cmd.exe /e /d guests
. d$ ~! j; M( j0 m3 o
3 |, \; r/ T9 X( a2 \
五.其它危险组件处理:
7 a! c+ B4 O4 v5 X) u! C1 i% Y
) Y1 i, i8 f9 l, nAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) , ^; o1 W! S. W/ \6 T+ W/ E& ~% o
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74); {/ t" I7 ?3 e; E
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)* |9 C: ^- e' J' ~- n( @
& t9 |- I9 T- X# O- h
0 j5 X+ q. t+ a4 c4 U, @$ V# H按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
0 [8 ?4 ~+ B: r; k
9 [5 {1 C$ w6 R; p2 V+ ]PS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
