|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
1 X- p& k* {( W9 s9 r& H' ~1 Z5 }; X q y. H( p+ I7 [( i4 q9 h
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
/ G# U2 N; {7 L2 b5 @信息来源:3.A.S.T网络安全技术团队/ u2 w7 o# K$ n+ F; o5 w; Y9 r
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
$ q+ r; _; l9 K7 A% yFileSystemObject组件---对文件进行常规操作.! h+ Y. H1 P7 \. o+ K) t
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
, P* [+ Y; x- D) m: Z# s6 aShell.Application组件--可以调用系统内核运行DOS基本命令.0 p8 h2 `; j% |& i
" s |3 `( A1 M" c7 S& ]一.使用FileSystemObject组件
1 q* |0 m# u+ }. Q
0 G, l S- v& {% O4 ~, c2 f1.可以通过修改注册表,将此组件改名,来防止此类木马的危害., f9 p, ]1 M. q; q! ~; b& K7 G( a- \
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\( X" G( C" x" R7 [
改名为其它的名字,如:改为FileSystemObject_3800
+ J5 T2 V- L. j S1 d) I! u自己以后调用的时候使用这个就可以正常调用此组件了.
# w2 n' u; o: U {* O2.也要将clsid值也改一下6 Q7 A9 T; G4 T0 V
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值' R1 P5 c: w0 C" v0 b, \) N
可以将其删除,来防止此类木马的危害.8 T; Q& f: u$ Q& }
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
9 K5 a# z7 O6 ]3 `4 t如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件+ h6 I# q1 {, x, s$ b" i
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
# V: U$ S D$ e$ c& U3 Ocacls C:\WINNT\system32\scrrun.dll /e /d guests
) a3 l S0 b$ W
- j& {) P J0 b. h1 b二.使用WScript.Shell组件
; z4 v8 z. o! w) l" m w* [9 {8 K9 I + L5 |2 M% {* T: a9 q, w* v) ]
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.# s- y8 B/ ^1 b$ q6 m, K) n0 O J
# Q$ _( _% H- z+ ]; [( g
HKEY_CLASSES_ROOT\WScript.Shell\
( H( K6 S. y$ `及
5 c* u/ W7 [# rHKEY_CLASSES_ROOT\WScript.Shell.1\
6 q; U5 A [+ w/ X& o& f改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc8 i( C) U' a, E3 ]& X' b
自己以后调用的时候使用这个就可以正常调用此组件了7 Q1 y7 g1 e: k. P+ w# S
S1 ?* ]' |, @8 ?. ^2.也要将clsid值也改一下
3 w. m/ i8 h* V V ]+ l" m" B$ k. C, zHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
! }- o# d4 S+ F3 _/ [& fHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值; p3 F5 m @5 r$ n7 H2 R% I
也可以将其删除,来防止此类木马的危害。
: K8 z% K! N$ f3 h2 ?# t% \5 @
! `; ~" a8 S" a" G- c三.使用Shell.Application组件9 w9 \6 @; N, Z" {" L" p4 a
" r1 _) t J9 p4 D4 _1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。. }/ ^4 Y Y) ?$ |9 i
HKEY_CLASSES_ROOT\Shell.Application\+ [( X1 B8 B2 Q/ Q# Z0 B+ l, M
及. C8 A; m) J+ b+ ?% w9 X
HKEY_CLASSES_ROOT\Shell.Application.1\
" J* n$ G. r4 w- G改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName; e( H, H6 c, y; E8 Q
自己以后调用的时候使用这个就可以正常调用此组件了6 A/ c/ L8 d2 R+ ~) M
2.也要将clsid值也改一下% E: y6 S9 F E+ g$ x1 s2 T% l
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值& X# s2 |- r$ Y& S, w9 e. W4 h
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值- P7 T7 K8 b. G# p5 y' I4 M: @% o; ]
也可以将其删除,来防止此类木马的危害。" J- N! ?5 T* n+ n% }) L
8 z* a+ Z7 k0 w0 n3 `! o" k4 h: v7 f, I3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
+ l4 x. j/ i7 J. y" e$ m" n6 Ecacls C:\WINNT\system32\shell32.dll /e /d guests
# G# d/ k3 S" }
. O* F3 D1 S j4 b; Z1 S四.调用cmd.exe: j2 w- v% O0 ~ K9 ?' ^
/ ~" _; P7 x, y- O0 ~% q F禁用Guests组用户调用cmd.exe命令:) z: ^/ J9 g. T; X, W( r
cacls C:\WINNT\system32\Cmd.exe /e /d guests+ L+ _4 S r* @; b" a! `% y* g# s
9 e9 ~ D+ S! I6 c* q( U5 K+ J; E
五.其它危险组件处理:
# L; t+ p& Q, X9 b8 Y# c
0 X1 K. L% L+ v$ o; c/ G9 L* B& rAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 8 L( y. n0 n) p, U. p! {1 \" x
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74); _ _, `0 n& ]# j& P
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74), y* m/ [9 J+ u' \4 b
. s* N4 q/ L' g+ k/ w$ m1 q1 W$ p
2 j* H& k ~$ {) E) u! V按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
. b+ j- {* ~. e3 R+ @
# \' A! I& `# Y+ ?) c- q* ~PS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
