很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
: `4 Q& p3 d# f4 v, `" ~! L2 R9 ^/ m
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\7 o0 z, r Y$ d' w) \6 r" a
改名为其它的名字,如:改为FileSystemObject_3800
自己以后调用的时候使用这个就可以正常调用此组件了.
2.也要将clsid值也改一下& E- C! l/ ~( o9 Y* [+ \
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
可以将其删除,来防止此类木马的危害.; q! L5 m# K* s4 ^# ~& X4 f
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:7 K8 k1 W2 L# i u6 F2 ~0 J# n5 \
cacls C:\WINNT\system32\scrrun.dll /e /d guests6 R2 `3 S, L3 H4 P! g
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.8 ~: B I3 k4 m! h
/ m q1 r( c) {3 K! h" L
HKEY_CLASSES_ROOT\WScript.Shell\! A# n. Q8 t0 I( ^& N4 ^2 x
及
HKEY_CLASSES_ROOT\WScript.Shell.1\1 \! ?( K3 N( [; E% x
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc5 n9 U: s5 o2 C7 e7 ?
自己以后调用的时候使用这个就可以正常调用此组件了
# J6 ]0 X7 c' L* L. y
2.也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。6 Q' D8 e4 H+ p
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。. F% e$ R, b! A1 l9 ~2 h- S
HKEY_CLASSES_ROOT\Shell.Application\
及8 D4 X$ W, p- b/ L7 a
HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
2.也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。3 |% \3 p7 f8 F$ o: n! a+ u6 i
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
cacls C:\WINNT\system32\shell32.dll /e /d guests6 ~& I0 H4 f+ w
3 E+ M) C7 c6 E) M
禁用Guests组用户调用cmd.exe命令:
cacls C:\WINNT\system32\Cmd.exe /e /d guests
9 q, g4 y, ]8 d# O/ ?( z% ^& O) B
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74), Z# y( C1 E( e7 v% z
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
欢迎光临 【3.A.S.T】网络安全爱好者 (http://www.3ast.com/) | Powered by Discuz! 7.2 |