|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
$ i4 K9 x6 |8 x0 `5 w$ ]1 v- P
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
2 \; p! }: I0 u0 Q7 m) B8 ]# ~3 I信息来源:3.A.S.T网络安全技术团队
/ E5 I6 ?+ ~6 X防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.+ V, A: m* \; H, ^
FileSystemObject组件---对文件进行常规操作.
9 j) V4 `2 ?( Q0 [WScript.Shell组件---可以调用系统内核运行DOS基本命令.
+ o+ r8 ?% u1 aShell.Application组件--可以调用系统内核运行DOS基本命令.5 ?, M" E: }& S
! [1 U! v L' m' H一.使用FileSystemObject组件7 p3 N1 J7 X/ ?0 m4 f
- ]7 W+ b+ R* l0 F
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.* ^/ f6 K/ v" X
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
' p3 ?; J( b ]! ^/ O2 |改名为其它的名字,如:改为FileSystemObject_3800
% y4 _+ ]! u, j自己以后调用的时候使用这个就可以正常调用此组件了.
: y8 A! J! Q! g. V1 S* K; U5 i2.也要将clsid值也改一下
$ q* |0 k# d O1 h) e9 u$ @- aHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
' M- o1 F- O5 }3 a可以将其删除,来防止此类木马的危害.
( ]. |1 \& n! _8 `2 U0 o( l J5 {3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 2 D% _$ @. e' P0 k' y! c
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
) s3 d% O5 j- c0 V# n4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
0 M6 C! z; F2 T' N. mcacls C:\WINNT\system32\scrrun.dll /e /d guests
+ d6 C! N) @2 ?$ B& ?5 Y0 [9 |/ }
7 A: `5 ^0 z0 G4 C: t \二.使用WScript.Shell组件& t7 l' \# q* r5 q: ^# |# G5 y
! U: e: h( {% E4 w1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.( b% |" Q# c- I7 ?" \( ^
. z* C# g. a3 Y$ b2 x
HKEY_CLASSES_ROOT\WScript.Shell\
, u8 Q l4 i; b; B3 {; z9 t及% _9 `2 |! J$ ~
HKEY_CLASSES_ROOT\WScript.Shell.1\
4 ]% L: s+ r: F# D/ n& i {) D改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc& r) A) ^7 Q2 l% g
自己以后调用的时候使用这个就可以正常调用此组件了
( s% t* Z6 t; R' p
! O: T2 f F2 D0 T2.也要将clsid值也改一下* e5 n/ b- }5 @( I8 v/ M
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
* _2 @0 U- Y* H+ G: }0 g6 WHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值/ N- n9 P8 ^. i% x- R8 h
也可以将其删除,来防止此类木马的危害。! L0 E8 f* q* G4 Z9 ]
3 v+ R4 }) H6 s# C1 c( y三.使用Shell.Application组件% r/ P6 J6 p) b# y- h5 a
, D- |, ]2 _" L! t2 S" t+ u1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
: s) r% {9 j+ E1 y4 s1 l3 t$ ]HKEY_CLASSES_ROOT\Shell.Application\7 I, I& _- Y* `( O
及& e9 y; M7 K! [) o
HKEY_CLASSES_ROOT\Shell.Application.1\; l' x+ N5 p. K5 j( k7 U V* L
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName$ B8 O- y/ S) [ z9 x1 |+ C
自己以后调用的时候使用这个就可以正常调用此组件了
# X- l: X% Y% }2.也要将clsid值也改一下
$ L( T: I- J8 G7 s- rHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值! F" n0 e+ I9 L7 r6 U
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值3 U' G" b) n$ ^% p0 @* E
也可以将其删除,来防止此类木马的危害。% ~- ]! l; S9 ?4 E
" L' ]9 u/ G; |4 o) p: Q {3.禁止Guest用户使用shell32.dll来防止调用此组件命令:8 s4 `2 ^% z# s. R0 L
cacls C:\WINNT\system32\shell32.dll /e /d guests
& @9 h6 w G# H' ~2 o6 K1 H q
四.调用cmd.exe
3 R! v7 W0 }: A, Y+ Z( q5 l4 @- a
. g6 y- Q K/ W ~) ^7 ~/ R禁用Guests组用户调用cmd.exe命令:
1 W& c6 w Q6 R+ Dcacls C:\WINNT\system32\Cmd.exe /e /d guests
( l) j8 Z- `6 E/ P2 |6 Q$ Z
: x. ^% o0 v; U1 P5 ^' H$ ~
" }) f X3 E, m5 f+ y五.其它危险组件处理:
/ I4 S/ ]: Q7 j' Q- j. P1 B ! m; ~8 {: v+ A; A) D3 y$ ~4 j
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) " h$ U7 t" Y2 \ }2 S N1 _6 h
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)' V9 I( H9 P: a; V/ ?
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)5 ^# p- k5 X6 ~
! e6 ^: ?/ o- V
/ w% u6 }' H: U) J/ X9 o按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
! m: M4 {$ F; ]0 L9 q* p% `' F1 C: R4 v5 @% P+ w
PS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 