|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
% ?5 q4 k, i- e' G3 d v" @
7 t& v8 Q' e0 B. w5 K: A3 S9 A原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)+ R& Y. _) y: I* t( J3 O& K
信息来源:3.A.S.T网络安全技术团队
3 `% J' }) V$ x1 k* |* k防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
- T- { L5 n1 ]$ E7 FFileSystemObject组件---对文件进行常规操作.
! `' x8 [* g2 k1 D' IWScript.Shell组件---可以调用系统内核运行DOS基本命令.
- J/ M: ?% u( DShell.Application组件--可以调用系统内核运行DOS基本命令.# _: t' }. M3 X$ h; E
# _! j7 `; O0 L, U7 r. x一.使用FileSystemObject组件) A0 |) t1 o1 p+ b
7 |7 |3 d; s# S( k, ^
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.8 k* ^# R0 d2 Z d( T8 D
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\) z( N$ m0 e# `" F4 x
改名为其它的名字,如:改为FileSystemObject_3800
4 ]3 ` z! d6 z" _, q6 f6 g自己以后调用的时候使用这个就可以正常调用此组件了., `% V& Q" o' ^
2.也要将clsid值也改一下 M2 R% [2 a* N5 p
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
# ]2 D+ E f1 E% R, R/ B4 C可以将其删除,来防止此类木马的危害.. u" a0 J5 k; X: h4 p2 H" y6 T
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 6 [$ Z; d2 B# { V/ { v
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件0 I6 A" e; l9 q: D% J
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:# u- H: t# u& i& S( j6 a7 N
cacls C:\WINNT\system32\scrrun.dll /e /d guests) t' f( ~& I @% _
% F( |/ `6 x3 `2 |6 B+ f7 P
二.使用WScript.Shell组件
* o$ L& @+ y1 ?3 z+ x5 j0 t * q# j9 O/ S+ R( q
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.$ ]" h0 H+ F; Y: X5 G- q( k
. O& I1 r/ W; W$ I& i( UHKEY_CLASSES_ROOT\WScript.Shell\: ]3 u# v5 h* @) ~8 G
及
4 @1 X+ h! n5 `- ^' o4 ?( B' `2 wHKEY_CLASSES_ROOT\WScript.Shell.1\
& ^8 ]" m2 q" I- @. c改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
/ T" G/ u1 O$ B. z$ @* Y自己以后调用的时候使用这个就可以正常调用此组件了
2 f5 X& }4 u4 m
* h: d7 O. q8 V+ ~$ D6 _- S2.也要将clsid值也改一下
0 ]" i" k1 r3 u* `! z( `5 W4 MHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
# r/ z3 X. {$ j9 M6 gHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值% _2 Z( Q8 h# M; V" c. v
也可以将其删除,来防止此类木马的危害。% W; A( F1 n8 C) V1 Q$ Y
三.使用Shell.Application组件" l+ @/ T$ O1 V- D: b
) {2 [( j) W& T; f/ C1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。0 O; @' b' q) G* z- @8 B
HKEY_CLASSES_ROOT\Shell.Application\% P) W# l8 i7 T+ u5 w7 M9 y% J$ e
及
# b1 D! X, d7 h! a9 ~& PHKEY_CLASSES_ROOT\Shell.Application.1\( b5 B) [' X. ^: e
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName" a" _* g( u3 n% F* _: Z% E
自己以后调用的时候使用这个就可以正常调用此组件了$ I# `9 ~4 X* V$ P3 Q* z
2.也要将clsid值也改一下
{/ y5 ?% Q5 X: ZHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
' u5 R6 q5 z0 q/ }/ q% U4 bHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值: V& Y" t$ b7 G: r1 S
也可以将其删除,来防止此类木马的危害。
8 b% M, @ w4 c. P3 [% q+ M/ m
- S6 \% [' I* U: ?1 F, r3.禁止Guest用户使用shell32.dll来防止调用此组件命令:" I$ c6 T' l# b9 y! P3 [
cacls C:\WINNT\system32\shell32.dll /e /d guests
1 ]# a6 U0 o9 j7 G' p3 p' N
四.调用cmd.exe
4 _5 T+ `4 P' E( {' r, D& t* @
. O7 A# _5 Y/ ]3 Z# i, ]; Y9 l禁用Guests组用户调用cmd.exe命令:5 _1 M9 D c5 L4 K. `4 v5 ~( L
cacls C:\WINNT\system32\Cmd.exe /e /d guests
0 r; V7 y( ?3 v1 t) c. L6 {% K+ X
1 o2 W( }' `; f5 x* f( E8 K% ~; J5 U4 |% r$ b9 D$ s3 S' S8 M
五.其它危险组件处理:" ~+ `& Y4 q- Z: g
: Y. f4 p0 c$ U& X; e/ |9 w! ^
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) * V& e0 t" z3 }6 U
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
* o: `8 V0 B9 X9 Y$ G8 t xWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
s5 O* I2 n% G; ~. @3 v5 E
' ~8 `9 X$ }) \+ X' M" S; P7 ]: X3 q4 R+ c) N, C9 i1 V" X* S, s
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
' x; y! Z) ^8 |1 V( u# v# g3 M+ d! O& t! z
PS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 