很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
0 e0 F+ |5 z0 q% ?+ s1 P" f$ b, l
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名为其它的名字,如:改为FileSystemObject_3800! y0 M- S" h! }& k
自己以后调用的时候使用这个就可以正常调用此组件了.# N6 M [/ W1 S; _9 h1 C
2.也要将clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
可以将其删除,来防止此类木马的危害.: `+ ^) c- Z' l8 Y! w+ F3 `
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
cacls C:\WINNT\system32\scrrun.dll /e /d guests' U/ U) Z3 F6 x, X- b6 j
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
+ z. s1 H D& a$ z
HKEY_CLASSES_ROOT\WScript.Shell\
及8 g6 M( }, f3 E% ^
HKEY_CLASSES_ROOT\WScript.Shell.1\& y; m8 X5 I7 _) w
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
自己以后调用的时候使用这个就可以正常调用此组件了
2.也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值/ O+ Q7 g K& \- A
也可以将其删除,来防止此类木马的危害。
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。8 {+ ^3 T% N( E+ ^2 N! Q( [
HKEY_CLASSES_ROOT\Shell.Application\* U1 R7 y$ K- F7 _" I3 K: y
及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
2.也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值) O9 g' ^( [" R5 n6 e
也可以将其删除,来防止此类木马的危害。, r; H. Z( J% I/ f
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:1 q, [6 D6 P: Q p
cacls C:\WINNT\system32\shell32.dll /e /d guests; t1 r! U$ @4 D% f. c
, o4 M2 J, I" y' E% V0 c
禁用Guests组用户调用cmd.exe命令:
cacls C:\WINNT\system32\Cmd.exe /e /d guests
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)0 Y( v* T+ e9 C. _
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)7 x; U7 y8 E; e3 k# X
欢迎光临 【3.A.S.T】网络安全爱好者 (http://www.3ast.com/) | Powered by Discuz! 7.2 |