【3.A.S.T】网络安全爱好者 » 原创专区 » 服务器如何防范ASP木马进一步的侵蚀

柔肠寸断 发表于 2008-11-3 21:38

服务器如何防范ASP木马进一步的侵蚀

[quote]很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看[/quote]
4{.xP(AZ `;C,FR2D jO
[b]原创作者：柔肠寸断 【3.A.S.T】([/b][url=http://www.3ast.com.cn][b]http://www.3ast.com.cn[/b][/url][b])[/b]j%g*N+n!k'@+Nuf,l/H
[b]信息来源：3.A.S.T网络安全技术团队[/b]
%V)J-GP
Xk 防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.Bfx^1J
FileSystemObject组件---对文件进行常规操作.
c_ M O'y+gsB WScript.Shell组件---可以调用系统内核运行DOS基本命令.
~:F`d`,s|8o Shell.Application组件--可以调用系统内核运行DOS基本命令.?@AT4c+A5@I

7g#kl@I;bY"H:D/z-_ [b]一.使用FileSystemObject组件[/b]
~{^vQ
sx8rQ#pW [quote] }#~ ]K$Z
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
vudk }K)pc.I HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
)Kbl.l-]aJ 改名为其它的名字，如：改为FileSystemObject_3800
vuA+Q"`v%jr 自己以后调用的时候使用这个就可以正常调用此组件了.5q2T]2F9{ZE
2.也要将clsid值也改一下,YfSHy"?)E"Yx
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值9jX5@%D`Qt-o6C:gU'Z
可以将其删除，来防止此类木马的危害.
Z%xMb*q)t~f 3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  (nPi AKS C`T
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
D-F9W4X9g 4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:*YA.nyE^/^Z,u
cacls C:\WINNT\system32\scrrun.dll /e /d guests
8jp _%ZT!tW [/quote]
X+?aPv&X!r|
3B+V;u4JD,~AP2E [b]二.使用WScript.Shell组件[/b]
.Uj&r$g1N6p,g:M$N [quote] L1WD1xTn
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
D!??f\8]$Jw&L#]
v{w@8\-zh1K\.fx$R HKEY_CLASSES_ROOT\WScript.Shell\UY _ W ~
及w7Wc)e:d+c5Z_
HKEY_CLASSES_ROOT\WScript.Shell.1\:W5a)jK*Y[G
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cctdz[bR&\4Uk"^
自己以后调用的时候使用这个就可以正常调用此组件了u#_Y;A1A/g~
)Tv+X-~`"i
B
2.也要将clsid值也改一下0W/`1[c,td7v[)K6G
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值b@YF1j
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
[4S+E4Q[,~d-_ 也可以将其删除，来防止此类木马的危害。
-u#TP8yV9[1Z`X l [/quote]I\)p7xqD
[b]三.使用Shell.Application组件[/b]#Drq RV
[quote]
OsR-p;D4r 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。1SK_/K.lx0b
HKEY_CLASSES_ROOT\Shell.Application\
[+~\2tpP"F 及

\9nM,i2i KO(c HKEY_CLASSES_ROOT\Shell.Application.1\
+zoq7Q~\Ur.f'^~ i,j 改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
WYW on J7HV 自己以后调用的时候使用这个就可以正常调用此组件了
uI-wtpXe(t^"T 2.也要将clsid值也改一下5z&E$qfAF;T+D
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
'YaeU].BJIm HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值~]+W_|7uNce
也可以将其删除，来防止此类木马的危害。'nq']^c+@0}$ja

u|2q Yz&gqm 3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
!t4R'n#L f cacls C:\WINNT\system32\shell32.dll /e /d guests-C/@| `6q%o0h;]
V.Nh
[/quote](^7v%e#OM&@6cO8wM&m:q
[b]四.调用cmd.exe[/b]
"s'd7S/[ ?\1N [quote] [Ac:CM{2F"E
禁用Guests组用户调用cmd.exe命令:
D8rahHN cacls C:\WINNT\system32\Cmd.exe /e /d guestsn-u8x VI7ZIz
[/quote]
0K0}5SW}
CI'~+JODa
[b]五.其它危险组件处理[/b]: l$TTf6R
Pc
[quote] ,BIx)sS
g-`8Y5O2Z
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) +kHMs4N,n
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
?u(hKY7P(^7yE WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)'Rz1@(DX!D
[/quote]
&FG|(vo5s"}?R
4\#r{YWx-dC 按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.h*k#u3R5R

O^_j~/nKK PS:有时间把图加上去，或者作个教程

saitojie 发表于 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断 发表于 2008-11-3 22:08

我本机测试了下
\Y]1f d9Zp9m R/Jv9wu gyK
如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie 发表于 2008-11-3 22:10

有控发点图上来对比下

猪猪 发表于 2008-11-4 08:39

哦 学习了  知己知彼方能。。。。:)

paomo86 发表于 2008-11-4 11:26

学习了……:D

小雄 发表于 2008-12-9 20:31

发点图比较容易吸收。。:lol    不过这样也行。

在意z 发表于 2012-5-16 00:23

谢谢楼主分享技术。。

查看完整版本: 服务器如何防范ASP木马进一步的侵蚀