- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
) V. I8 p# R% n' U. x. f
- ?3 ^* I% n1 S/ U+ \7 g$ H原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
4 T5 p( n, x# |; ~* D信息来源:3.A.S.T网络安全技术团队
' [+ ~: w; F/ {% v! U! S9 K) e7 u防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
* r0 n% n6 Z W- j% x: jFileSystemObject组件---对文件进行常规操作.
" k! C4 L* }! z6 hWScript.Shell组件---可以调用系统内核运行DOS基本命令.7 a- k4 s; W/ s
Shell.Application组件--可以调用系统内核运行DOS基本命令.# {3 D0 Z6 q {& k8 N' [8 e
a6 I! e2 Q1 ^; P6 D7 A一.使用FileSystemObject组件
- t4 P8 G2 d( ? w. U # A2 }4 Y6 c% z7 L# B( s( o
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
1 U0 f, M8 h- }1 F# d" m) ~! w* GHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
! g9 p7 b0 R5 b2 p8 R; B9 V改名为其它的名字,如:改为FileSystemObject_3800
9 X( U% S# f1 g1 t自己以后调用的时候使用这个就可以正常调用此组件了.
# {% I* v; ?) H2 f) s, `+ m2 ^2.也要将clsid值也改一下- m$ T. D2 ?2 G( q2 I
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值( p) X! Y4 G9 F" T& G) g
可以将其删除,来防止此类木马的危害.
; A' T+ `' p- g/ L5 X3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 4 I' f" k* q" m3 V9 ]
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件4 [9 @! |6 U. i3 n: a. \. {: I: T
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
% J, g u6 F9 G' a" Kcacls C:\WINNT\system32\scrrun.dll /e /d guests E" k( A3 J6 c! M# x$ q - Z5 n& Q/ R x7 ?1 O0 [
& J: o! m& O: x1 ?; ?二.使用WScript.Shell组件+ j6 |$ n' X- u, L
9 n: d$ f2 V( J5 U8 R; r% ? \8 h1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
) `9 l$ f: I) U* _
8 a' O! n1 P+ V1 n AHKEY_CLASSES_ROOT\WScript.Shell\
9 E4 `6 H6 N/ s |及
3 I4 c/ p) t" W; b4 PHKEY_CLASSES_ROOT\WScript.Shell.1\5 ?4 X% A( T; r( K3 X `' K
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
9 E9 G, ^9 l. s$ B, \& K f自己以后调用的时候使用这个就可以正常调用此组件了
1 {& Y5 x5 `; u9 H* \6 a( z- Y% K9 u$ n
2.也要将clsid值也改一下0 r& S4 g( c6 N7 @9 p, ^0 }. l& q% {
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
- p& R/ D+ ^, M0 b& \+ [9 s$ cHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
7 d! Q6 U) f. }也可以将其删除,来防止此类木马的危害。' ~+ u* Q' z/ U" C/ e! p/ N
! |6 s' l) l' f0 y4 X三.使用Shell.Application组件/ E5 k5 s2 A0 }1 {
0 l ?3 w6 {+ ?( D1 v+ {
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
+ |6 f; F; R6 l7 o) QHKEY_CLASSES_ROOT\Shell.Application\4 a# Y9 W) p* J1 D, L V
及
9 S9 _: y: ]/ c6 lHKEY_CLASSES_ROOT\Shell.Application.1\; b J6 Q; ~5 Z m
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName+ f) S- o7 w% w8 ^. ^
自己以后调用的时候使用这个就可以正常调用此组件了
+ M! L# y$ r, L. k. x2.也要将clsid值也改一下
: f& J+ x0 k8 G6 jHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值- s1 Q' R# n2 w* a5 |" q2 \$ k( ^
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
8 \% i9 H' v5 r0 K也可以将其删除,来防止此类木马的危害。
6 {' X% K' g' ^
& P3 z. I8 X2 r; t5 m: f: }, M/ X- I* A: y3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
, e4 @9 f; V% _1 Y5 }5 A9 xcacls C:\WINNT\system32\shell32.dll /e /d guests# s0 a% e( e" h( g4 h$ C# _ 9 y0 X# \7 s9 B7 W
四.调用cmd.exe
! P! _$ a8 v( c- A5 t* `7 i
+ b4 @9 v5 I2 \禁用Guests组用户调用cmd.exe命令:7 ]' ]9 V" z1 _! P& ~' f
cacls C:\WINNT\system32\Cmd.exe /e /d guests1 Q3 b/ o& o: o; m% R2 O 9 H, g% q1 ~% k: f1 A) M; e
3 R% E( O. U$ k9 Q( \# p
五.其它危险组件处理:6 |! r% F, z; H) J' t- A: z4 o) C
; b0 |, B. U- {5 K# T5 b+ L
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) - y7 f- R/ g( C3 J6 ~! Q
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)- [' V; M) f, n) C3 G ~
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
/ D8 b P! f& }, q4 ]. {8 s- M9 p- v
6 D0 c6 k) y+ g% F$ c4 B; G: c+ A' n j m* {: _ T
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.: {7 P5 B5 F; n2 L* h
# Q: J4 L3 D5 `& [/ K8 APS:有时间把图加上去,或者作个教程 |
|