|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
; l6 e/ P% S% @
# W! x% E/ k4 {) X. S+ A原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)( c) q( H r0 w6 _, _
信息来源:3.A.S.T网络安全技术团队
; _5 v* E! k% `( C4 f# w防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
4 a- P3 {& X$ n# f* B" vFileSystemObject组件---对文件进行常规操作.8 v1 {1 [1 A3 T M7 m3 `& \
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
$ e ~' x6 l0 HShell.Application组件--可以调用系统内核运行DOS基本命令.
* O- U4 S6 o( y. @8 \' I* u# X0 k5 X; Q: m
一.使用FileSystemObject组件$ s. z: y# v2 O
4 L7 R% P+ H6 d" p
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
. }8 d! {9 Y! n8 [HKEY_CLASSES_ROOT\Scripting.FileSystemObject\1 w7 ?% X5 Z* W. u4 M* r( f# z/ X& T
改名为其它的名字,如:改为FileSystemObject_3800
/ u2 r; R3 Q8 W+ y s自己以后调用的时候使用这个就可以正常调用此组件了.
8 f8 {1 }$ H) p/ _, a& b2.也要将clsid值也改一下6 g* ~2 E& h( h& W+ \, i
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
. [: F1 i% m" G! V$ G可以将其删除,来防止此类木马的危害.& Z2 O4 |7 ~; J
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 0 C( l; N' ^6 \- ?
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件, t5 h4 ^% a* K1 u: C+ ?0 t3 p" `8 M
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
" u. J8 a9 i1 a' z T6 g5 gcacls C:\WINNT\system32\scrrun.dll /e /d guests, F' Q" m: w; j I( b/ a
2 {7 C; n: G/ o8 {& U, G- L7 \% B
二.使用WScript.Shell组件
) v, ` v1 ~" v4 \ + J6 t" v4 Y3 `4 _
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
0 V I8 @. v- I
9 p5 h0 \( [% p' a& UHKEY_CLASSES_ROOT\WScript.Shell\1 l! \3 s- d( A- I0 U0 x( x, G
及
4 j. j! A' H0 P* I/ }- YHKEY_CLASSES_ROOT\WScript.Shell.1\ _& i) ?# i5 E. I5 L
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc+ {- @& Y3 n9 K$ g$ v* z- Q+ K
自己以后调用的时候使用这个就可以正常调用此组件了
. e$ g$ ~6 i2 i. H! c
1 Z5 Y4 Y" p6 o$ c0 T# Z/ z. e' C2.也要将clsid值也改一下# @% z5 O2 X7 w: P7 ~ R) v
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
! }% a5 N* {* q# X$ u3 L& w# uHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值5 W) b: O+ P9 V" y8 o
也可以将其删除,来防止此类木马的危害。' Q& c ~3 L5 o8 P' d
) i0 m0 A& b" H( U U, F7 h/ R三.使用Shell.Application组件( x8 w7 `: E/ T1 }
& |. Q: G$ N, N5 Z' ?1 h. J1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
. \. Q0 o9 m( G; [$ T6 z" EHKEY_CLASSES_ROOT\Shell.Application\
1 p9 q1 ^0 v7 C- p及
. I( g. r3 ]6 [HKEY_CLASSES_ROOT\Shell.Application.1\" E, B3 A1 h. F# h/ _% g( R9 ?
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName5 X! \* o+ |. T7 v8 g
自己以后调用的时候使用这个就可以正常调用此组件了+ b- i% C0 X: o' F/ Z
2.也要将clsid值也改一下' v5 S& V% @ v
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
2 [& O3 Q/ A/ G* W7 O" G# }HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值( [" ^4 e! d& A4 K a
也可以将其删除,来防止此类木马的危害。) |' Y5 T" l& Q6 u7 @
# `& o) F! } E! r7 ^
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
. m( `( \) w1 Q, k+ e1 |cacls C:\WINNT\system32\shell32.dll /e /d guests) R! |0 r4 Y* C% u, w& J6 b" o' d
1 ^8 Y% C8 x, P& F四.调用cmd.exe
) m- J( p/ x' ]/ h2 x
8 e# i5 k" e9 c+ B2 X禁用Guests组用户调用cmd.exe命令:" A! K" `% f. A
cacls C:\WINNT\system32\Cmd.exe /e /d guests' w, ?8 A7 S1 E/ F4 R
" I- {3 x9 r% u* T- u5 }. S
$ V3 l1 c4 C% ?) F. B五.其它危险组件处理:: G% W S3 B. ?4 X
8 Q$ ]. t+ G, _0 X. Z% N, F CAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
: j/ `2 S$ N V: S- j9 A3 mWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
* P5 A6 r5 {6 q& S& y5 K: f% ~WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
& O) C% m5 [ `) q$ w
1 e+ {% U- g( Z a; N: m& _% n5 `# V; i
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
: I7 Q* q6 Y: P* @5 ]
% G0 _# w6 C( Q7 ePS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 