- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
9 u- c: R7 J: R2 I, J% A3 C. E/ i8 G7 i* E& y( ?) u
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
3 n7 T4 U* U& y4 x4 w) K信息来源:3.A.S.T网络安全技术团队
: D1 q/ W1 `& L5 C% A ?3 n2 {防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
: F2 k' r6 ]; f0 C* C, P) q9 ^FileSystemObject组件---对文件进行常规操作.5 p9 O% |: z, r P
WScript.Shell组件---可以调用系统内核运行DOS基本命令.7 k4 _. { z2 [5 D2 l# r( L
Shell.Application组件--可以调用系统内核运行DOS基本命令.
R' [$ d$ T* @; N2 G8 u4 g& F1 c8 R0 Q% N/ u+ W- _ w
一.使用FileSystemObject组件
: `7 M) [! a; X# }, b6 j 8 Y. U% P9 w- n8 l }, K
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
* y( U W5 n" J; h0 h8 P' g' tHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
/ E; t$ w0 L) k+ N改名为其它的名字,如:改为FileSystemObject_38001 M- c; B6 s# k) ]$ u. u
自己以后调用的时候使用这个就可以正常调用此组件了.- a7 ]- Q3 B8 e, \) J- X! C
2.也要将clsid值也改一下7 c. b& s( x4 ]$ L5 s ?
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值" f9 ~, Q9 h$ O. F- I
可以将其删除,来防止此类木马的危害.+ O0 e, \* Z/ `4 {% H0 b, u
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
r! I; w( a3 }0 |) e, Z如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
3 [- G. _ k R/ c( X4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
7 N7 h. k. w$ v8 fcacls C:\WINNT\system32\scrrun.dll /e /d guests7 Q% q+ p- b; J) |. R * z5 A0 t8 e; [( h( o
7 o& i( w$ m) y! [二.使用WScript.Shell组件9 V* C" y& f8 |( I) \8 W
0 p$ I1 I& w) f1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
% T3 E8 W0 Q1 q. V# ^& w- V# f& Y4 U3 G Q- P
HKEY_CLASSES_ROOT\WScript.Shell\
. {6 w( M" g! U# t" j6 c/ K9 [& g+ d及
/ }8 c0 P8 _5 ^ ~HKEY_CLASSES_ROOT\WScript.Shell.1\
# p. X, m! [/ j改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc, x; o" `" X! J! b0 \' ]5 N# U2 z
自己以后调用的时候使用这个就可以正常调用此组件了
, ]; J7 x3 A* L- U' d# S: d( _" c8 m9 G# M8 U, |% Q% [
2.也要将clsid值也改一下
5 w2 q, L4 O, IHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
. \- B# O- R: m3 MHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
, f, j; O8 ]3 g3 U也可以将其删除,来防止此类木马的危害。1 d7 P& u V: i$ G ' N& Y% e' X* Y8 A
三.使用Shell.Application组件& P5 _$ [ l( D6 W7 [0 X
9 i4 k) U' {& w2 G- W+ d+ ]* e. ]; {
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。' g$ @; T8 c: I0 z' l- f: V6 v2 R
HKEY_CLASSES_ROOT\Shell.Application\8 W! ~+ Y4 q- ~% p
及, ^- f0 q* z& t2 r+ t
HKEY_CLASSES_ROOT\Shell.Application.1\
8 _* n9 C: c- M0 s2 b2 E$ p改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
! N# c- R2 d ?0 r4 N自己以后调用的时候使用这个就可以正常调用此组件了& {+ n' p& ^# j R; x
2.也要将clsid值也改一下( N2 S! f6 k& g
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
$ _, x: T8 L/ x4 D8 ^/ kHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值# a- [; C" O T9 d- t. {
也可以将其删除,来防止此类木马的危害。% X- f4 e& N' W9 f: a) Q
+ Q) X. P, G8 l& f+ P) G: Q. Y2 A
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
- [7 k4 j- k3 {) Pcacls C:\WINNT\system32\shell32.dll /e /d guests* ]3 G' W& J( k- M& c& i
. @6 \" K6 v! F3 [1 g四.调用cmd.exe$ s6 ^8 p7 @* Q, X6 o
; P% t8 F4 ~$ R& l3 Q! v1 u
禁用Guests组用户调用cmd.exe命令:) a% J% X% e" h( A4 c0 r
cacls C:\WINNT\system32\Cmd.exe /e /d guests
0 G0 Y5 \+ m1 \ ! O% B, v; w+ @( n: n4 `
7 B2 ~; v$ K2 c- H五.其它危险组件处理:
# f" Z f& _* w* \8 \3 ` 8 E$ ~, J8 B2 w4 u7 o, M8 B9 a, C" n
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 9 }1 F$ `: F$ k
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
. C& c& k$ z0 [$ S& U0 q! tWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
% E5 s! s) ~, Y+ r& B o
+ B5 J! X' j4 L& y+ @! @
6 n' L7 U; {5 d6 u ], m3 O按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.2 D2 O" ]5 p5 y: g( P
% Q& r( u) W- H4 SPS:有时间把图加上去,或者作个教程 |
|