【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [原创文章] 服务器如何防范ASP木马进一步的侵蚀 [打印本页]

作者: 柔肠寸断 时间: 2008-11-3 21:38 标题: 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

8 B6 W2 S+ P1 T4 ]: ~% O! q: C
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队4 h% V% ~% p/ k/ a
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.; o% t, ?; R& c* C6 u
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.5 E% Q, T! n/ q: u4 P# w
3 z4 T# Y: U: E: V" l; o
一.使用FileSystemObject组件5 c5 j, v7 c: Z) }! d# P7 D% T

+ d9 c' o& O( `  f/ F2 F" ^1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
: l# M2 U- e/ O* K6 pHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
1 b) B" [( U. ^8 m- T/ t$ u7 _改名为其它的名字，如：改为FileSystemObject_3800+ g* U: @7 B$ o0 t
自己以后调用的时候使用这个就可以正常调用此组件了.; @& I" o! ^. p, _- C. \( Y
2.也要将clsid值也改一下
: Y# H& z' S6 b% K/ W4 VHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
% m8 w* G" w5 i3 w可以将其删除，来防止此类木马的危害.  C6 m6 [! Q4 `; Z; V
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  2 U# J/ A, F2 t, V4 z( k$ L
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件& Z' n+ h9 T8 Y
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
; X, Z: J' _. G% g# ycacls C:\WINNT\system32\scrrun.dll /e /d guests
- Y% K0 k  r, W: [' v* Z6 O3 [5 [: k

( D2 V* u5 n0 K8 e3 S0 F3 L2 ~0 g

二.使用WScript.Shell组件

- @& U1 B0 @9 o
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
5 X0 W2 b. P* p: T& O- o+ L
: c7 I5 B& {. `! N& EHKEY_CLASSES_ROOT\WScript.Shell\
# V3 M% | c% n# t: b5 @- C2 E* v及
3 `& P- ^& J4 ~# A. Q8 X7 sHKEY_CLASSES_ROOT\WScript.Shell.1\' ^- |8 r' E1 Z5 T
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc) T" \1 f$ a! c+ q: X
自己以后调用的时候使用这个就可以正常调用此组件了8 r1 m% Y* t/ [4 _
' X$ u/ m6 v, M; [* E
2.也要将clsid值也改一下
9 j! P: P3 Q9 g" Y. Q1 hHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值9 d+ X( {0 l, o8 s/ S& l+ ~
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
" F J0 m# p' w0 [9 U! D5 Q也可以将其删除，来防止此类木马的危害。* K" t8 n0 d! ~, j" z0 a: Y6 J

3 I; h( H0 I j& t( ~1 Y6 i
三.使用Shell.Application组件# }, Y- {' {! d& _* B i

% B& d1 r2 s# V4 m# H1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。; o0 q0 z2 V* e' Z2 Q: \& n! N7 K
HKEY_CLASSES_ROOT\Shell.Application\7 g0 s( n$ C6 |3 f7 Z* g- q
及
6 }: V5 q* l3 a6 @HKEY_CLASSES_ROOT\Shell.Application.1\
9 O2 Q1 C$ o/ x: |改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName# A- P' t9 t" {( ^
自己以后调用的时候使用这个就可以正常调用此组件了
. X, e1 F2 F* }! Y; O' h2.也要将clsid值也改一下
3 Q0 N' z; F. [& OHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值. d# g% P" b; q; w
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值' x# j& S" _0 H9 p# k" u' U
也可以将其删除，来防止此类木马的危害。 k( s+ J8 X; J
6 s- L2 K0 K: ^/ Q( D0 X9 b+ e) a
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:; _3 Q0 Q* B* O" m/ N( G
cacls C:\WINNT\system32\shell32.dll /e /d guests
1 f/ c8 `0 R. d1 C$ ^* ~

四.调用cmd.exe

1 |9 D4 t$ v7 B- M5 [' [& n
禁用Guests组用户调用cmd.exe命令:
1 L3 ?6 m G" Zcacls C:\WINNT\system32\Cmd.exe /e /d guests& O1 x( P, n6 s" r0 ^

3 L' |& ~" U4 c& u% e+ [- R0 t3 _
. j4 ?7 D/ ]7 R3 k# q2 j
五.其它危险组件处理:

: C- |" l; `7 `" n( ~/ A1 P* L0 \
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) ]8 o1 a' g% B' }
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)( v2 j& J0 X. l) a/ I- }% [. W
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)' |/ g) w7 ?8 v4 g! R: O

2 L4 q" G& W9 y$ ]3 t

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程

作者: saitojie 时间: 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

作者: 柔肠寸断 时间: 2008-11-3 22:08

我本机测试了下0 U& I: j- |" b
0 q' o& X0 Z& y- M/ u
如果更改了相应的组件之后，ASP木马就完全打不开了

作者: saitojie 时间: 2008-11-3 22:10

有控发点图上来对比下

作者: 猪猪 时间: 2008-11-4 08:39

哦学习了知己知彼方能。。。。:)

作者: paomo86 时间: 2008-11-4 11:26

学习了……:D

作者: 小雄 时间: 2008-12-9 20:31

发点图比较容易吸收。。:lol 不过这样也行。

作者: 在意z 时间: 2012-5-16 00:23

谢谢楼主分享技术。。

欢迎光临【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)