【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [原创文章] 服务器如何防范ASP木马进一步的侵蚀 [打印本页]

作者: 柔肠寸断 时间: 2008-11-3 21:38 标题: 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

, @) u" N D7 M4 H; Y1 V) c
* P5 j. B& ~6 R0 L% g
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)" h e1 p3 ?5 m; Y1 U3 {( E9 v& h
信息来源：3.A.S.T网络安全技术团队% u6 X! f6 `% r9 t$ p. v
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击." I7 v( k& J9 K
FileSystemObject组件---对文件进行常规操作.* I% |7 K0 h* Q1 \2 o
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件+ h( _. Q: S8 s+ y+ g1 h) o

. @+ L( _1 O. D$ t
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
4 s& k  d* q$ w/ P8 J2 EHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
) n( Z  M. N( h6 Z: u  U5 q改名为其它的名字，如：改为FileSystemObject_3800
) j- g' o5 r5 z  o自己以后调用的时候使用这个就可以正常调用此组件了.. a1 G+ x$ L4 o# w* p/ M7 y- M
2.也要将clsid值也改一下
: Q, e) \/ `5 R- \' E  pHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值8 f9 g0 x, l! I
可以将其删除，来防止此类木马的危害.- n7 B  r4 B' N- i  U) y% O
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
. Y3 K3 r6 @/ a2 ?1 G1 N1 N如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
: @* E0 t6 R% f! k4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:' O" s7 y) d# \' n, a
cacls C:\WINNT\system32\scrrun.dll /e /d guests
9 I. y4 c$ |( k+ f0 X, m

二.使用WScript.Shell组件6 ?% d: c: m: J' t3 z4 ~2 X/ z

$ E8 W% X+ z7 R) p0 P7 b; L, K' M1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
2 E0 Y2 U s% c4 h8 W( \5 V/ N& q" B7 E( e& ]/ n5 u; P
HKEY_CLASSES_ROOT\WScript.Shell\
: \* j2 b) y5 f及6 g* G1 C X) G4 ?
HKEY_CLASSES_ROOT\WScript.Shell.1\/ u2 W. w) w! O; z
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc% k. L' R( v/ G4 Q" F
自己以后调用的时候使用这个就可以正常调用此组件了2 v* F) s0 C( H2 o! ^( n% Q
2 N+ H% R- q- H
2.也要将clsid值也改一下2 k. U) F& M3 R$ Y
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
7 V8 A+ Q3 I" U, M: Y- GHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值; @8 r4 g1 z2 m- l2 e
也可以将其删除，来防止此类木马的危害。
7 I8 d2 _; ]8 h4 O- V5 ]! q

三.使用Shell.Application组件

: V$ l1 c) g  D# @. s& b: X6 m5 `* D1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。* z+ L0 M* S9 t
HKEY_CLASSES_ROOT\Shell.Application\4 G" E, ~; @, N  l" N, o' P# O
及3 p  S. ~9 t' m. ^" [! t" R, l
HKEY_CLASSES_ROOT\Shell.Application.1\
9 c3 {: J9 }( d& U3 n改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName" k- C+ n  [3 r
自己以后调用的时候使用这个就可以正常调用此组件了
8 C0 X2 h5 l9 x  T, Q+ j* Y. o7 \2.也要将clsid值也改一下
. S6 R% i8 t) g* {" }) n2 e- NHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
! H% t8 Q0 Z$ i/ H! ~. cHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
$ B7 J% o7 r9 i0 _$ D; A6 E也可以将其删除，来防止此类木马的危害。! ^2 L+ h, ]* r' G( O  h: P+ ?& D
# T- K  U, L( }# Y6 o
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
$ n9 ]- x- f* g/ S: k1 [7 D9 j. d+ ycacls C:\WINNT\system32\shell32.dll /e /d guests
! N1 L- J+ A; l+ ]& J

四.调用cmd.exe

3 X1 v( g+ \& ]: U
禁用Guests组用户调用cmd.exe命令:( L& [3 @7 j8 {
cacls C:\WINNT\system32\Cmd.exe /e /d guests# k$ s0 h3 N6 a( z

5 x: `" }0 C* Z; ^: f
4 x3 O8 r4 d4 H! f, E& B. u' k. r
五.其它危险组件处理:

9 k* }- P: z  [; d3 z% v( P& \
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
& k8 C/ A7 W2 I7 |  H+ p5 N8 _WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
8 R, _& `) T8 U5 x: ]; _+ WWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
1 ], {" r  d& e

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.$ ?# Q3 I9 F7 ?% Q( q6 ?( K% o8 T

PS:有时间把图加上去，或者作个教程

作者: saitojie 时间: 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

作者: 柔肠寸断 时间: 2008-11-3 22:08

我本机测试了下6 _5 |. l) M! c. ~
2 ^3 ~+ f* g- |4 p1 g5 R+ b
如果更改了相应的组件之后，ASP木马就完全打不开了

作者: saitojie 时间: 2008-11-3 22:10

有控发点图上来对比下

作者: 猪猪 时间: 2008-11-4 08:39

哦学习了知己知彼方能。。。。:)

作者: paomo86 时间: 2008-11-4 11:26

学习了……:D

作者: 小雄 时间: 2008-12-9 20:31

发点图比较容易吸收。。:lol 不过这样也行。

作者: 在意z 时间: 2012-5-16 00:23

谢谢楼主分享技术。。

欢迎光临【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)