|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
' t. b6 b. s/ {! k, }6 A, R1 A原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)- W9 Q# E8 n$ B" l2 k4 ^/ k2 v
信息来源:3.A.S.T网络安全技术团队
5 L- Q3 V- C& k/ |+ Q; d% i防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
/ H' r$ x4 i3 q% ^2 C% m' bFileSystemObject组件---对文件进行常规操作.
- b6 X' m: {, A! fWScript.Shell组件---可以调用系统内核运行DOS基本命令.
0 G% r7 ] X$ \, bShell.Application组件--可以调用系统内核运行DOS基本命令.
/ H- O7 `' P" Q. ?
2 ]0 m1 y7 z, m4 \: l2 Y一.使用FileSystemObject组件: V# N/ x1 \, ]1 J, r7 W
9 x: Y! c- T. R) j4 B9 c1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.! n2 E0 q0 | d7 u
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
2 \- F0 U- r3 i0 W7 w5 N改名为其它的名字,如:改为FileSystemObject_3800
- t H) S+ n1 A1 C' C6 ^自己以后调用的时候使用这个就可以正常调用此组件了.
! p# g. `/ ]0 L. Z$ A: ]. R1 i2.也要将clsid值也改一下
, F$ Q+ h- S# N, {# cHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
: a) A( Z- C$ x# E7 C& j可以将其删除,来防止此类木马的危害.
4 S/ S1 F' a# w. B& [' c$ `3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll ) ^8 r0 C; Z" J; n
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件( v4 I4 I& y7 ?
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:/ S. w; u, J5 t% g" q
cacls C:\WINNT\system32\scrrun.dll /e /d guests
7 B W/ Q c/ Y# h" a* X& y; k
; {+ D& |6 ]- S' ~二.使用WScript.Shell组件1 E' F( P" z6 e: h0 { ^* w
# d: s( ~! \6 ~1.可以通过修改注册表,将此组件改名,来防止此类木马的危害./ j8 x# G$ _+ }& Y7 S
9 F% _0 {; f6 w# YHKEY_CLASSES_ROOT\WScript.Shell\
; s# b0 h- }! V0 R及: d9 n$ s( Y- W& [
HKEY_CLASSES_ROOT\WScript.Shell.1\. s* T! f* Y* ~% ~$ j
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc. e- P2 g- p. U" A2 a6 G
自己以后调用的时候使用这个就可以正常调用此组件了
4 p e& s B/ o2 A. [) }; a+ l
' n& D5 F. d3 A% }. V8 n; I2.也要将clsid值也改一下
5 X2 y1 n* h9 I* p- o( g$ e& \HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值7 B5 o8 t a( Q
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
# v+ L4 @# w6 z也可以将其删除,来防止此类木马的危害。
' i* u9 \8 }1 I' Z0 K5 \
* A$ Y& `* R! V1 [" S! ^0 s0 y! W三.使用Shell.Application组件
+ ? c9 P! y2 k' j. u 6 L ]8 O$ \9 L7 l* W
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。" c$ ^2 A; a* x
HKEY_CLASSES_ROOT\Shell.Application\, v+ o' c2 [4 D
及
* I# u6 q4 \: l! T1 N8 O" eHKEY_CLASSES_ROOT\Shell.Application.1\* I0 `8 I3 S8 d
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName! f9 Z0 j9 b. e1 \% Q/ u3 c0 C
自己以后调用的时候使用这个就可以正常调用此组件了% t. N- z. }0 }* ?' `
2.也要将clsid值也改一下8 t, g, i/ Y+ W' [, i# m: d
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
, B" R5 d- W5 @1 Z. o) \+ J$ CHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值: ~( E; X7 i# X8 T( W
也可以将其删除,来防止此类木马的危害。- P9 L8 E" F0 E/ A4 w, h! D$ j
6 r5 k: x" n' n$ a3 Z) j; s3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
8 m1 J# k7 g& d+ t0 }" Tcacls C:\WINNT\system32\shell32.dll /e /d guests
) v+ s7 r7 a$ g1 _! W( S+ y
四.调用cmd.exe. s4 x, H) u; M* m$ d
6 H b' a0 @# s2 s z禁用Guests组用户调用cmd.exe命令:
" X5 j% A+ w% N7 ^# M- w' s: Icacls C:\WINNT\system32\Cmd.exe /e /d guests1 d" M' F% I v& P6 f! Q* }& w/ v( j2 F
! j) Q% Q% o3 a. { Y- E8 ]0 {2 Q8 K" S2 e2 \
五.其它危险组件处理:
: b" C& B/ _& v6 x$ X
( T: ?* ]+ I9 \+ bAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
' u: T8 e7 ^. jWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
3 F2 g8 b" O' \! a8 r9 k4 u, mWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)4 o; ] T e G; b }/ ~
/ a3 _+ O; r) f: \2 r# }9 l; y4 ] A, a
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
+ u7 U4 P/ Z/ t$ O1 X2 C
* `: [- I2 v) a# ]! H- IPS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
