|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
: W+ ] K; ]8 v5 M原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)* H. |( T3 H* {/ |8 D9 N4 s; l
信息来源:3.A.S.T网络安全技术团队( V' @% D- a) C# Q$ F
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.3 `9 P! X! @$ P8 B7 _
FileSystemObject组件---对文件进行常规操作.
5 m$ P' G2 U$ M" wWScript.Shell组件---可以调用系统内核运行DOS基本命令.
! x" h# @ P, L/ nShell.Application组件--可以调用系统内核运行DOS基本命令.
# o: a: o' V- f$ K, j. l0 {. b( U* T: m# s% ~- m
一.使用FileSystemObject组件- O* D% S* `3 J! ^" s2 c: R
' S0 A3 B7 N" b& w
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
o6 |9 k/ ]4 j, M6 kHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
, [4 K1 b( C: V6 Y# j改名为其它的名字,如:改为FileSystemObject_3800; L2 ~) z+ X$ V2 @* S
自己以后调用的时候使用这个就可以正常调用此组件了.
5 {: q/ a6 p9 f# d5 q, E; [2.也要将clsid值也改一下
4 i: i$ F6 I3 O: r3 r: {HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
8 R% P8 d- [) {# D可以将其删除,来防止此类木马的危害.. T; M; g6 b7 ^% G2 V
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
, g# y6 N2 X: a8 w+ D& z g" e$ m如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件. e# N: V( O" \* m5 G' p# a
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:. p6 T6 U: {7 j/ t ]' t
cacls C:\WINNT\system32\scrrun.dll /e /d guests9 \# }1 u0 A$ v& j, v
0 X2 P; B6 E; _- D3 i二.使用WScript.Shell组件
& c6 x" q2 _6 }( j& R) a7 R: b: O' ^, p 3 F D6 _: o" S) O, B0 v" I( H# |, K
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.8 c. e0 ]4 _' A
$ v3 k. f; R3 |2 ~. |; ?HKEY_CLASSES_ROOT\WScript.Shell\
2 x" C( W2 u( h) t及
# ?! e% @- m. L: d2 v* Q- K. X+ {HKEY_CLASSES_ROOT\WScript.Shell.1\ h2 p& I P# m- ]4 ?, \3 N
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc; O. }# I* I8 Z3 F, N
自己以后调用的时候使用这个就可以正常调用此组件了( ^/ j5 _' d. c9 `
1 O8 t8 J! L" y4 r5 r
2.也要将clsid值也改一下
3 {: c* ]" }, ?8 n1 AHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
6 I0 V+ c; ?4 U! ~) {& BHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值( Y: ?) a& b3 O; m
也可以将其删除,来防止此类木马的危害。$ w8 F$ X/ ^$ {; Y9 e
0 ]) ?$ q/ p* v三.使用Shell.Application组件
& ]2 ~4 l" F* D3 [ 7 I5 c9 O, H \! _/ _, _
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。7 m9 N* a* W2 Y9 Y
HKEY_CLASSES_ROOT\Shell.Application\
% ]( r- ~; m; Y/ V及. g/ x' x: N4 O/ h, |
HKEY_CLASSES_ROOT\Shell.Application.1\
2 }$ K) V( k' \! W; l3 d改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
% a& R; k1 c$ l自己以后调用的时候使用这个就可以正常调用此组件了% K) C @6 _. r8 O1 F9 i8 y
2.也要将clsid值也改一下$ t( m8 @- i9 i3 o6 T
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
$ [. u, H1 Y) Z5 ]# b: G( yHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值. L1 R! ^9 E; D5 J
也可以将其删除,来防止此类木马的危害。
! G* k4 T$ ~( \, p( @
, A- r( L' Y0 |2 [5 y9 a5 N3.禁止Guest用户使用shell32.dll来防止调用此组件命令:/ K0 P0 D- ]7 ~
cacls C:\WINNT\system32\shell32.dll /e /d guests/ S$ s2 X: n) R9 M
四.调用cmd.exe
6 S( o' A' g8 h* @. k- Z* e' G
( r O3 v9 m5 w$ ^. \" P, U禁用Guests组用户调用cmd.exe命令:8 h! u" _2 T6 n9 H0 |' ~
cacls C:\WINNT\system32\Cmd.exe /e /d guests2 C) `9 t9 I9 ]9 M0 {7 h v
9 N6 d+ ? }1 f$ Y! B* N3 c* z五.其它危险组件处理:
! X# W; k* ?7 w2 {* @" s, A, o , ~& Y! d' @( M( v, [
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) ( J+ l2 D! ]3 p$ z: c
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)% `5 w- I; S7 M, \/ ?+ A" H
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74), K- i7 d a$ _$ D4 N: p1 ]
2 r. E8 X: R5 o# t, f" b0 ~& E; b y% @- U9 A1 @" e# ` R
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
0 |0 M4 \( u4 e. F( \% Q& F% Q; b4 W1 S0 E
PS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
