Board logo

标题: [原创文章] 服务器如何防范ASP木马进一步的侵蚀 [打印本页]

作者: 柔肠寸断    时间: 2008-11-3 21:38     标题: 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看

! K7 z  i) i) z1 K( [  S. g5 i& O$ c: o, _- t) c
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
! `3 I9 u' {' {) ~信息来源:3.A.S.T网络安全技术团队1 C/ y' {7 z& f% m! [, n# t
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
8 c! u5 k, j$ c& w1 r. z9 kFileSystemObject组件---对文件进行常规操作.7 U$ O8 v( U( c. C- i& ]
WScript.Shell组件---可以调用系统内核运行DOS基本命令.4 G# u- i" c! K8 r* I* F) d
Shell.Application组件--可以调用系统内核运行DOS基本命令.
8 T" I7 [% X8 X- w4 T
0 L/ \% e6 q2 j. [  G2 e一.使用FileSystemObject组件" x/ O2 m% z# o& k: F. k
: `4 Q& p3 d# f4 v, `" ~! L2 R9 ^/ m
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
: A3 ]  C4 G' CHKEY_CLASSES_ROOT\Scripting.FileSystemObject\7 o0 z, r  Y$ d' w) \6 r" a
改名为其它的名字,如:改为FileSystemObject_3800
& \: N5 N9 ^2 w* V4 _, U自己以后调用的时候使用这个就可以正常调用此组件了.
! p4 p7 l2 m  {* d! w2.也要将clsid值也改一下& E- C! l/ ~( o9 Y* [+ \
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
' ?8 A" J; t2 r, o, ~) R" R可以将其删除,来防止此类木马的危害.; q! L5 m# K* s4 ^# ~& X4 f
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
: I% z: n) f, u0 H% c如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
2 Z4 K4 {) }. w+ R4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:7 K8 k1 W2 L# i  u6 F2 ~0 J# n5 \
cacls C:\WINNT\system32\scrrun.dll /e /d guests6 R2 `3 S, L3 H4 P! g
: _; p( A; U  u8 Z( H2 j" c

3 V8 F' w; F4 x/ a二.使用WScript.Shell组件
, ~: X: s1 X% p$ e5 h# H

0 }! n' ~" P8 g1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.8 ~: B  I3 k4 m! h
/ m  q1 r( c) {3 K! h" L
HKEY_CLASSES_ROOT\WScript.Shell\! A# n. Q8 t0 I( ^& N4 ^2 x

# E, j1 I' W* n! I. PHKEY_CLASSES_ROOT\WScript.Shell.1\1 \! ?( K3 N( [; E% x
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc5 n9 U: s5 o2 C7 e7 ?
自己以后调用的时候使用这个就可以正常调用此组件了
) p* N! I* U: Z# J6 ]0 X7 c' L* L. y
2.也要将clsid值也改一下
3 M7 P) q8 O" I$ H8 N2 {4 ~/ |HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
. O# X* Q, f; B5 i6 H2 x; GHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
" r+ E- m  V$ u6 R5 X$ z也可以将其删除,来防止此类木马的危害。6 Q' D8 e4 H+ p
' Y! q# c, C0 _' X. W
三.使用Shell.Application组件: H! p- z9 F' N* r# ^4 F2 W8 S4 a' w$ @

. R/ f7 Y- f0 k. Y; S8 I8 C1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。. F% e$ R, b! A1 l9 ~2 h- S
HKEY_CLASSES_ROOT\Shell.Application\
) A- K: I9 W& y; ]/ q# Z. F8 D4 X$ W, p- b/ L7 a
HKEY_CLASSES_ROOT\Shell.Application.1\
$ \* F* G7 D6 e7 a改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
" [2 s7 ~! N: K自己以后调用的时候使用这个就可以正常调用此组件了
9 y$ ?% ^, G7 f% {2.也要将clsid值也改一下
0 b' E- j' l1 v1 a  ]HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
+ K$ h2 z( X5 q) ]4 }8 \5 @HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
& O5 D0 M: W) v也可以将其删除,来防止此类木马的危害。3 |% \3 p7 f8 F$ o: n! a+ u6 i

' @/ S4 W5 p5 q- V$ L3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
9 {( o: D# a6 x2 qcacls C:\WINNT\system32\shell32.dll /e /d guests6 ~& I0 H4 f+ w
0 |1 \9 G' L% Q' A
四.调用cmd.exe
' P9 Y# ?9 X- b. D
3 E+ M) C7 c6 E) M
禁用Guests组用户调用cmd.exe命令:
: }# d6 n: u" T* Ycacls C:\WINNT\system32\Cmd.exe /e /d guests
/ }4 {% ~5 F( p& x9 y' H
7 N- L8 I9 v  }

6 W* f4 ^, ]9 O+ w' M, s/ G五.其它危险组件处理:' X' ^( u0 q& N0 P$ v6 e5 d
9 q, g4 y, ]8 d# O/ ?( z% ^& O) B
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
; P5 @& s9 L% j6 e: A5 e3 ?WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74), Z# y( C1 E( e7 v% z
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
; z" f; J6 D  [4 L! `; k( O

2 a2 v: w0 a( a/ ^  n7 i0 ?# n" ^/ c4 A. p6 s
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
: Z$ ]0 N+ J6 B" [8 `  N' W9 N6 o; v+ s6 y/ U
PS:有时间把图加上去,或者作个教程
作者: saitojie    时间: 2008-11-3 21:43

我只是知道这三个组件,但是具体怎么用,还真不知道- -!
作者: 柔肠寸断    时间: 2008-11-3 22:08

我本机测试了下* t( P  y' v, a: I- d
; ^- e  Y1 K3 j1 Z. l8 S  N
如果更改了相应的组件之后,ASP木马就完全打不开了
作者: saitojie    时间: 2008-11-3 22:10

有控发点图上来对比下
作者: 猪猪    时间: 2008-11-4 08:39

哦 学习了  知己知彼方能。。。。:)
作者: paomo86    时间: 2008-11-4 11:26

学习了……:D
作者: 小雄    时间: 2008-12-9 20:31

发点图比较容易吸收。。:lol    不过这样也行。
作者: 在意z    时间: 2012-5-16 00:23

谢谢楼主分享技术。。




欢迎光临 【3.A.S.T】网络安全爱好者 (http://www.3ast.com/) Powered by Discuz! 7.2