【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [原创文章] 服务器如何防范ASP木马进一步的侵蚀 [打印本页]

作者: 柔肠寸断 时间: 2008-11-3 21:38 标题: 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

$ p _& G0 |0 D6 K9 I ~
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.' y+ u- }1 s7 M. a9 y0 B$ Q
Shell.Application组件--可以调用系统内核运行DOS基本命令.
1 v- y: ~' B% e$ q% i9 d& a
一.使用FileSystemObject组件2 _& i( Q" t8 W/ T8 F [+ C& `

0 e0 F+ |5 z0 q% ?+ s1 P" f$ b, l
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
2 H+ s. c$ {5 M+ k( O  jHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
  Y1 h3 x" _, h" A" S9 ^6 b改名为其它的名字，如：改为FileSystemObject_3800! y0 M- S" h! }& k
自己以后调用的时候使用这个就可以正常调用此组件了.# N6 M  [/ W1 S; _9 h1 C
2.也要将clsid值也改一下
7 y; O: Y3 x' F) M3 aHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
; n- p, [) [( ~/ K- r5 C% p2 S可以将其删除，来防止此类木马的危害.: `+ ^) c- Z' l8 Y! w+ F3 `
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
1 `' S* C8 n& I- w; c如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
" K) u+ Q8 s* s9 R) h4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
0 D/ X' r2 |$ m( n1 N  W3 ycacls C:\WINNT\system32\scrrun.dll /e /d guests' U/ U) Z3 F6 x, X- b6 j

' _& G7 {) C% D( d: _% J8 j8 }. y

二.使用WScript.Shell组件

1 ?9 e) G! y3 N: N% z  G1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
& m' o7 M3 V+ g3 f+ z. s1 H  D& a$ z
HKEY_CLASSES_ROOT\WScript.Shell\
6 F6 b: r6 I1 g' @6 e! |% w及8 g6 M( }, f3 E% ^
HKEY_CLASSES_ROOT\WScript.Shell.1\& y; m8 X5 I7 _) w
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
/ P. g0 @* M- L5 N$ Q, w自己以后调用的时候使用这个就可以正常调用此组件了
4 v4 O8 @6 ?4 H) K- h: ~/ d
# O" v) a1 V) \: \2.也要将clsid值也改一下
& v! L6 W* ~6 V% iHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
; b; \5 d0 E5 R9 T5 z; zHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值/ O+ Q7 g  K& \- A
也可以将其删除，来防止此类木马的危害。
# Z- g8 [( Y0 L5 w) I, s

三.使用Shell.Application组件5 L/ _$ F3 o% M: R1 T

$ o0 Y( I: J7 t8 m, Z3 y: y/ Z% o1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。8 {+ ^3 T% N( E+ ^2 N! Q( [
HKEY_CLASSES_ROOT\Shell.Application\* U1 R7 y$ K- F7 _" I3 K: y
及
( P- U% ^, B2 O8 `) {HKEY_CLASSES_ROOT\Shell.Application.1\
1 Q) u$ O/ z* J; {3 W* x% g改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
, @# }5 m) K( ]0 j自己以后调用的时候使用这个就可以正常调用此组件了
" }, w3 l  W' W9 D* n2.也要将clsid值也改一下
3 W& Q6 v6 u9 e" k1 C: b" H+ sHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
% Q0 o! q  H8 Y; \- SHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值) O9 g' ^( [" R5 n6 e
也可以将其删除，来防止此类木马的危害。, r; H. Z( J% I/ f

/ u$ g; H: ]! s3.禁止Guest用户使用shell32.dll来防止调用此组件命令:1 q, [6 D6 P: Q  p
cacls C:\WINNT\system32\shell32.dll /e /d guests; t1 r! U$ @4 D% f. c

四.调用cmd.exe" h+ a. O0 z) r; `5 R: R1 g' Q

, o4 M2 J, I" y' E% V0 c
禁用Guests组用户调用cmd.exe命令:
g0 e, M* O+ G! @cacls C:\WINNT\system32\Cmd.exe /e /d guests
* _% P3 d: j# G, x3 A$ w$ H* [: Q

a0 r/ n3 O* p3 B' @. r z

五.其它危险组件处理:% C! t" r n- g3 r. |8 t

+ s' a9 h5 }- C7 NAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
7 S' D2 S# \! }# ^4 l: ZWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)0 Y( v* T+ e9 C. _
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)7 x; U7 y8 E; e3 k# X

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
8 z; i# L2 @; f. F- ^: ~
PS:有时间把图加上去，或者作个教程

作者: saitojie 时间: 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

作者: 柔肠寸断 时间: 2008-11-3 22:08

我本机测试了下+ J, X. t) D& b
; y1 e0 I. X5 O$ Y
如果更改了相应的组件之后，ASP木马就完全打不开了

作者: saitojie 时间: 2008-11-3 22:10

有控发点图上来对比下

作者: 猪猪 时间: 2008-11-4 08:39

哦学习了知己知彼方能。。。。:)

作者: paomo86 时间: 2008-11-4 11:26

学习了……:D

作者: 小雄 时间: 2008-12-9 20:31

发点图比较容易吸收。。:lol 不过这样也行。

作者: 在意z 时间: 2012-5-16 00:23

谢谢楼主分享技术。。

欢迎光临【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)