【3.A.S.T】网络安全爱好者's Archiver

黑客学习

柔肠寸断 发表于 2008-11-3 21:38

服务器如何防范ASP木马进一步的侵蚀

[quote]很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看[/quote]3yu:m:k%z M^X

(ly] dH ]Z'f)` |gi [b]原创作者:柔肠寸断 【3.A.S.T】([/b][url=http://www.3ast.com.cn][b]http://www.3ast.com.cn[/b][/url][b])[/b]
a&U r6{0Q [b]信息来源:3.A.S.T网络安全技术团队[/b]lnia)v
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.4OJS?iY zM
FileSystemObject组件---对文件进行常规操作.
!`$maB5{j WScript.Shell组件---可以调用系统内核运行DOS基本命令.MuP7@1t&A$j
Shell.Application组件--可以调用系统内核运行DOS基本命令.%\4@Y&WV BF,X

,Hn |YuhgN x#aF [b]一.使用FileSystemObject组件[/b]RIsz+L1`1Wr~
[quote]
hmrqS 1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
m$d&P]1bS x HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
.GiT h,`:noZn 改名为其它的名字,如:改为FileSystemObject_3800&Un4js.C z,l%O ~
自己以后调用的时候使用这个就可以正常调用此组件了.
z CN7]B$pw 2.也要将clsid值也改一下
!}-M8K2^Tj'J HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值,qql!l"zFm A
可以将其删除,来防止此类木马的危害. K u!u3y_3~
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  -f(O^;E&~t0z
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件/] zS#D9O0I0X o#x
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
&v\xx8{\Q } cacls C:\WINNT\system32\scrrun.dll /e /d guests
:P$@ h$M&Neu8r/| [/quote]
C4e+W7~;R"\
@7TS UA [b]二.使用WScript.Shell组件[/b]
B6k4T ad:i.Vt J Z/`*~ [quote]
/x4b8g"m)Qoyh k 1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
%wG8C-x7tv
v8n:\OM@4w HKEY_CLASSES_ROOT\WScript.Shell\
O+xq `j HR5V
qCm*v*x^1T HKEY_CLASSES_ROOT\WScript.Shell.1\B'~iB"hel.X
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc)T'C xk$Z)u]
自己以后调用的时候使用这个就可以正常调用此组件了
[Nx5}:P$lAy4G 9fJ6C L T6t
2.也要将clsid值也改一下:pe/QT#RP i8J [(X_2m
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
J*@c+ua ~Qun HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值1h z%Z-k(idqhX|
也可以将其删除,来防止此类木马的危害。
!b1{ k!u Rs [/quote]5nil1[?vs+_
[b]三.使用Shell.Application组件[/b]j$Jgd,u qm
[quote] ,F"p.Z`s9Sv
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。 [%D`7Dd2L HQr
HKEY_CLASSES_ROOT\Shell.Application\Kz5n#~L}uvb5yo
"`Z[Z U9Sl
HKEY_CLASSES_ROOT\Shell.Application.1\w;z%a x5VW'O"^^2o
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
5Xs9iZW'Fglc&v:^ 自己以后调用的时候使用这个就可以正常调用此组件了o0I A r _3[gi
2.也要将clsid值也改一下
W R8qr$N4^ HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
0Ak/S+K0xL/c5a HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 D)H\ V%Q M
也可以将其删除,来防止此类木马的危害。2?oZW3[ K1v(qs

)v`kf5B-t8d8a 3.禁止Guest用户使用shell32.dll来防止调用此组件命令:Y@2D0L7Ud#?[
cacls C:\WINNT\system32\shell32.dll /e /d guests
R*pr}h/Q!N [/quote]
g*y_h }~2H2X+NT b [b]四.调用cmd.exe[/b]vy#Z^I N
[quote]
.U f-t4Nr 禁用Guests组用户调用cmd.exe命令:M'X7~8Tt2Sg d y
cacls C:\WINNT\system32\Cmd.exe /e /d guests
h8N\*K]A [/quote]
j2J|*\\%?-@ u:R8X5T sk'b|#O
[b]五.其它危险组件处理[/b]:l7fQqg qm*eE
[quote]
4|`"b u JZm;pg Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 'QQ L s7_em3B
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)t#{F0a U~1p
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)W/o3U j;Y
[/quote]+z;o4b2M4r1z%Q
6|;n'}5C2u$f*Vz
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.G%nt]Hi3f!C
N3`DDc;TZ
PS:有时间把图加上去,或者作个教程

saitojie 发表于 2008-11-3 21:43

我只是知道这三个组件,但是具体怎么用,还真不知道- -!

柔肠寸断 发表于 2008-11-3 22:08

我本机测试了下
h F*S%]z"I2g*Y%s W"j^&^"A3A
如果更改了相应的组件之后,ASP木马就完全打不开了

saitojie 发表于 2008-11-3 22:10

有控发点图上来对比下

猪猪 发表于 2008-11-4 08:39

哦 学习了  知己知彼方能。。。。:)

paomo86 发表于 2008-11-4 11:26

学习了……:D

小雄 发表于 2008-12-9 20:31

发点图比较容易吸收。。:lol    不过这样也行。

在意z 发表于 2012-5-16 00:23

谢谢楼主分享技术。。

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.