|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
: x$ a7 a7 h+ _0 ~, m8 j! }4 r/ n! \$ T# h
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
7 v0 H3 Y4 B) m a1 J7 Z信息来源:3.A.S.T网络安全技术团队0 B$ N5 ^, B* z
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
' b3 ]) H1 T! k( b( W Q2 P% F0 }7 a% SFileSystemObject组件---对文件进行常规操作.; ?- N7 M9 M- V: S! d* ?, ~$ Q+ ?
WScript.Shell组件---可以调用系统内核运行DOS基本命令.4 ~) L% V' t- b4 o5 N# V
Shell.Application组件--可以调用系统内核运行DOS基本命令.
" e- P% ~1 r# L C2 U5 X4 u
: u, j- \7 V( |7 H& W, C一.使用FileSystemObject组件
6 ^: I7 p9 L( F$ v3 j, Z
( t% {6 K3 D+ T7 C' ]1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
3 h1 X# F/ }( H; { xHKEY_CLASSES_ROOT\Scripting.FileSystemObject\& ^! s$ C* w. ^% t' h( Q/ w
改名为其它的名字,如:改为FileSystemObject_38006 @/ X R( @- x% K) y. P* `) }6 n
自己以后调用的时候使用这个就可以正常调用此组件了.6 g7 G, D" l' L6 a( P$ F; k
2.也要将clsid值也改一下
% }) n8 ]# o1 J8 WHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值" _1 D! |; o$ F# A/ ~
可以将其删除,来防止此类木马的危害.) w. x4 @( f W C5 g* [
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
; O6 P7 w) m% G# y% A/ h2 ]& B9 W如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
3 R* S8 j4 C" W0 r4 B4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:+ W' p: z5 _# x' H
cacls C:\WINNT\system32\scrrun.dll /e /d guests1 ~+ [0 q/ j( T
. S. x$ w% F: x; O1 |: w/ V( `1 F% X
' p; f0 h; P3 {) y6 R二.使用WScript.Shell组件2 g2 Z" t" T& R7 ?, c K
9 a- `) d" d& L2 f9 n7 q1.可以通过修改注册表,将此组件改名,来防止此类木马的危害., k2 W& n; y* K z1 s4 a
; E/ }9 _/ h* _* {HKEY_CLASSES_ROOT\WScript.Shell\
( i% k( N6 ]2 m, x及
& f' J! ~( T" ^6 F4 `HKEY_CLASSES_ROOT\WScript.Shell.1\% ~' [& l3 M! L5 P5 b5 C
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
7 x9 ~% F; t& ]) k0 D7 d3 R/ _自己以后调用的时候使用这个就可以正常调用此组件了0 c% V+ [* b" z# t w
: m' O+ ~9 z, U& e" ^2 K6 k2 C+ j$ {2.也要将clsid值也改一下
" D) L" v8 T4 N9 v; XHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
; @) |0 c' g! a) A! {HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值: y4 B, J! o6 J- B5 K: r- q# H6 X
也可以将其删除,来防止此类木马的危害。
- c# G0 r7 k# {/ q
{ h' h# p( {- X8 J& @ I) d三.使用Shell.Application组件
1 \- q5 z* ]" t5 t) O* r
* J0 t+ I2 G& g. U1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。, J/ |1 |8 D$ b* Z9 D
HKEY_CLASSES_ROOT\Shell.Application\
" ]* U# Z" u* H; I! g/ }及2 g2 d2 g! |( g4 `3 G
HKEY_CLASSES_ROOT\Shell.Application.1\5 b- ?9 B- \+ n( X X
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName$ F7 T) i$ D6 @9 L! [5 l2 Y/ {. }
自己以后调用的时候使用这个就可以正常调用此组件了
3 a' ]# U$ C; M2.也要将clsid值也改一下7 e4 P: a- i& B+ K+ p$ x+ o
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
. L2 Z# D9 _* @7 G0 V3 U* J& jHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值3 p2 D( B/ W0 A5 I
也可以将其删除,来防止此类木马的危害。- B8 x) a4 x0 |! D0 d
5 l& |/ K; ?/ x7 R. W& Q. b3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
; T( {( c3 l# R; n! }' W, u8 R+ rcacls C:\WINNT\system32\shell32.dll /e /d guests
. R( p, }2 {9 Q8 E, m
四.调用cmd.exe
: a$ }3 g6 N" y v4 L; U
5 S( U; O* ~% |禁用Guests组用户调用cmd.exe命令:
, K* T2 k% v5 _ a; _cacls C:\WINNT\system32\Cmd.exe /e /d guests
2 E5 d# J* }8 G& H% j
; ~: Q$ }$ M+ s, P( }) R& `
- U* ]( F4 W) f& v( W7 K) k五.其它危险组件处理:
2 [* I" M* H& c3 H6 X9 G 9 J. u6 s& Y( e3 l* y; h
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) * ?4 S3 N: r$ b: h$ |" h( @7 k- ]
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
: k- a% f. t6 i1 z8 O% ?, v0 yWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74), h/ C8 H- n) I) B* a7 b S3 L
8 R9 \; ] I9 _& S- N2 }- w! |
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
; n9 `3 O3 Q$ O+ R3 G* |9 A2 `- Q- x" {- w" j8 H. y$ h" p
PS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
