- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
k. L6 R2 a7 r9 D& S5 m0 T2 B. _( t7 f4 y/ o) l0 R
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
* w4 G8 A, k/ l1 \( [+ K: B信息来源:3.A.S.T网络安全技术团队7 [* m+ O# G4 F- y' b
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
4 s, G* M2 U) j8 w# @FileSystemObject组件---对文件进行常规操作." B8 } g, f. O' ?0 V5 U+ p
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
* D! b% b4 A( Q" I; F% a/ _( oShell.Application组件--可以调用系统内核运行DOS基本命令.0 Q3 V& q7 j+ g9 U) p+ I& y
) p( W, @7 \: e/ f- _# f+ X一.使用FileSystemObject组件8 A1 V* u. w3 [( r+ X( ~" @
# R8 e! c' S z- i
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害." B* C+ s7 q2 S( g* V5 b7 f$ ?) M
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\6 A3 v7 K9 r9 o# P! F/ g7 T
改名为其它的名字,如:改为FileSystemObject_3800
$ R5 H4 _: F5 [. S6 y# E0 P5 q& H自己以后调用的时候使用这个就可以正常调用此组件了.! m* \ \0 M& e+ B" B8 k( z$ u6 f
2.也要将clsid值也改一下
# @5 d1 j3 |2 S% b# ~, jHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值, g# Q+ V" L, g2 f3 c9 `
可以将其删除,来防止此类木马的危害.
. F, ?8 @' y3 [* C% N. h( y7 ?3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
8 z) h# `3 a$ k如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件3 d7 c$ h' l& D
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
* a; z l4 g E* ocacls C:\WINNT\system32\scrrun.dll /e /d guests3 j* O/ V) n4 h, |# U+ S # Z/ L3 O. b+ e- V9 r9 Q; R s
, j4 X, O% g( H
二.使用WScript.Shell组件$ X/ l% l3 I9 |* t( g/ K
2 C F- Q& q k6 T& \) s& c
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.( X0 x, A1 D% q
( r) g C3 k/ M; ?% u2 W% \" }HKEY_CLASSES_ROOT\WScript.Shell\* J& t- m6 }4 H1 k) n
及
8 j' F" l5 g cHKEY_CLASSES_ROOT\WScript.Shell.1\' m' d5 ?5 h8 n% B
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
8 U- l& a) i7 U4 I) G+ Y k" g自己以后调用的时候使用这个就可以正常调用此组件了0 I" |$ [8 t- y( R
# d; y7 Y1 D" [# \ d E" o } v
2.也要将clsid值也改一下: }) ?* h; C/ t M( Y! k
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
K' e7 ]9 |$ sHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
: e) |& G, g- t也可以将其删除,来防止此类木马的危害。
8 C( C/ o$ U1 a$ B8 R8 v
( x/ w+ I# X: d4 h9 D) M: @三.使用Shell.Application组件
! J8 |" L- ~4 W4 { 5 L2 h/ l# s4 q% S3 f7 N7 ?
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
' u6 I' q% S) Q4 DHKEY_CLASSES_ROOT\Shell.Application\
3 [9 C& C1 M6 d+ T5 }* i及! X4 B7 F( z: y: w9 ?8 D' H
HKEY_CLASSES_ROOT\Shell.Application.1\* H* V* P: [$ [
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
' n" m, C w+ G自己以后调用的时候使用这个就可以正常调用此组件了9 e, g+ l! g1 G9 ^9 ]
2.也要将clsid值也改一下& j$ S/ D* |& v$ V4 E
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
. k0 q4 g [4 K# P3 _$ d& H. U8 wHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值/ _5 |0 ~2 y( G! ?; G+ v
也可以将其删除,来防止此类木马的危害。" Y1 H7 g b5 }
K; U5 u4 M0 _7 Q1 W l, Z4 r
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:9 P) }( p, b* a( e+ y7 G
cacls C:\WINNT\system32\shell32.dll /e /d guests
- Q a; E' F/ b 7 h, _ c; W0 h
四.调用cmd.exe
: j3 p6 ^; a! D, t" }9 V
& f6 x9 T3 p4 k% ~禁用Guests组用户调用cmd.exe命令:
7 Z2 m" n2 Z' O; C0 J- S: H6 M# ncacls C:\WINNT\system32\Cmd.exe /e /d guests
3 {* m9 F) V, r7 v" i4 a 9 G3 e& B3 e# R8 `* E, y
4 }* C" f, {3 k' [, `" c
五.其它危险组件处理:/ p3 T1 \ m- \# n/ w
4 K: B8 {, G9 k2 e! n( z! PAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 1 l- ^. C, N( G2 u6 {/ M
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74), Q& {+ ^$ r' `) ]9 s1 m
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
3 G/ f' o/ {- J) n3 [ 0 \# v8 V& j% O
8 x6 b: o$ g% w" q. n按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.+ R& J4 ^$ t4 D( _4 G3 O9 d [' j
+ R! v2 H- z1 Z1 M3 C c0 ^* \3 aPS:有时间把图加上去,或者作个教程 |
|