- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
# Y/ O8 m8 |6 @* a& k. T6 e" b0 _& f1 J+ P6 F5 Z
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
* B, D* Y* E, ]. K$ i信息来源:3.A.S.T网络安全技术团队% Y3 p8 T B9 V/ W" C2 m5 u* e
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
' X1 V8 w0 j4 k1 V& ]- z+ O7 `& fFileSystemObject组件---对文件进行常规操作.; v/ K, Q& q! @
WScript.Shell组件---可以调用系统内核运行DOS基本命令. V$ a0 O) \; O( j# @2 v# x" y* p
Shell.Application组件--可以调用系统内核运行DOS基本命令.# X1 Y* V9 d7 [8 _
5 y' W: Y* }$ G W! a- C3 r4 L一.使用FileSystemObject组件
0 g8 p; z% D, U! Y+ z8 b7 R" j2 S
- v' E( C; m5 X& X" H7 [5 e+ q k1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
( T, z# M" ?0 O. ~+ R2 THKEY_CLASSES_ROOT\Scripting.FileSystemObject\
+ Z3 Z$ J! W# o& H* A2 r) r改名为其它的名字,如:改为FileSystemObject_3800: U/ l c; M& d; }5 f
自己以后调用的时候使用这个就可以正常调用此组件了., |5 U8 c: @2 x# Z1 Z
2.也要将clsid值也改一下; y/ r2 _: t# ]5 I
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值. f3 W$ V& ]* ?3 r7 q/ ?
可以将其删除,来防止此类木马的危害.
9 s$ f; {% T2 ~3 c3 Y2 c5 i3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
' D8 @" k$ Y& D5 n% L. W5 W/ [如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件# g% H" d5 z8 p+ `; V
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:3 c2 L( c) C, U6 E0 ?+ j
cacls C:\WINNT\system32\scrrun.dll /e /d guests4 v3 e% n/ ` p# I
" ~9 N8 g; e( B/ n
- i4 U. c9 s2 v2 N二.使用WScript.Shell组件5 O8 _0 O3 { J- e, U
/ N) k0 _: o: B! v1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.8 s# r$ b4 ]: e! u1 B8 v
& B' H+ g+ U) o5 H0 l) MHKEY_CLASSES_ROOT\WScript.Shell\
2 ^ n+ U, F2 L7 o1 j及
. s* D% F! P7 z! ?& bHKEY_CLASSES_ROOT\WScript.Shell.1\+ X, J5 C' d6 H1 ~+ x6 @$ ~. q, K
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc6 U" [+ ^* _ [
自己以后调用的时候使用这个就可以正常调用此组件了" p; f" E/ R% {' Q( D3 Z' I( H
0 N) \6 Q& F9 |7 ?1 v% m, b5 a2.也要将clsid值也改一下, K" ]3 ~& [ m# _) l
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
+ j' l9 q: q: {& z6 ~+ @9 C) mHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
! _% |: T( g) l# U b也可以将其删除,来防止此类木马的危害。3 r' a5 ~6 j7 c5 D " M1 |. x' ~7 r* u# x
三.使用Shell.Application组件0 n5 _# T* V5 O9 S, n+ w0 h' h7 e
1 e+ B) T: Y) ?3 ^1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
6 m6 d+ L% A/ x( }3 Q. ]2 |( D ~HKEY_CLASSES_ROOT\Shell.Application\& a2 A. `- N" X2 Z8 f* ]% K
及# w' p; e# C- @. o3 C- t
HKEY_CLASSES_ROOT\Shell.Application.1\
* \9 l2 o& u2 i2 H, x9 I4 k改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName: [! u) G% i, R$ Y! f; S# [
自己以后调用的时候使用这个就可以正常调用此组件了
* E: ~' F O; g, r8 ^0 a/ K2.也要将clsid值也改一下$ R# }* ]3 X; H, O0 H+ y
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
0 F! u/ I+ f5 ?- hHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
8 W9 J1 J h/ Z1 K b: r& s也可以将其删除,来防止此类木马的危害。' m$ k5 D% |. \) z4 o
% T( K' }& V" F; C* j) [2 \( u3.禁止Guest用户使用shell32.dll来防止调用此组件命令:7 U2 K0 z3 U, w
cacls C:\WINNT\system32\shell32.dll /e /d guests) Y; a0 R+ u" o" J ! }3 q1 U( S; c0 K( u! W; n5 x$ W
四.调用cmd.exe
* ?# s0 e! d" w$ T
' ?- U/ P! W: p禁用Guests组用户调用cmd.exe命令:
5 r1 K# M% ]* ccacls C:\WINNT\system32\Cmd.exe /e /d guests) X5 L) E1 W% ^" U8 A( W
3 E# q1 ~! C, }, j
! w8 Y: D2 ?# H% j五.其它危险组件处理:
. U2 r! h' T7 N- |! u 5 B9 t% Q# a. E
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
1 j0 E) z, S" q; R, hWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
2 r+ q/ v" n) R- l- oWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74); ^9 t0 g2 B3 a$ S# t
# {% j0 p$ ~& z, Y( i
) a$ i7 G" e) S& Y! t1 [0 j# ]按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些., G% P9 E- w x" |- V' D4 I
' q9 N: a0 Q2 Z2 f2 bPS:有时间把图加上去,或者作个教程 |
|