|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
0 o- w( S2 Y$ `0 S( W* M( e7 H% \4 X0 p
原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
1 O# Z; K/ v% D信息来源:3.A.S.T网络安全技术团队
: k; V1 I& W. W8 V3 F4 b* D防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
8 _" J; E: M8 i. N' h& u% s8 E9 @" w( GFileSystemObject组件---对文件进行常规操作.5 w$ @, B; x; Y
WScript.Shell组件---可以调用系统内核运行DOS基本命令.) a$ E: e* m$ [! i9 v. t9 U
Shell.Application组件--可以调用系统内核运行DOS基本命令.
. m0 n R; v* C& w; r" x- S& z) `4 O& j& y4 X
一.使用FileSystemObject组件- b6 z! I: j0 Y3 Q# J0 f/ h8 {
- z$ w. ]8 g0 X
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
/ p% k4 L# `! Q3 D, G" yHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
2 g0 k( C6 ^# h" K改名为其它的名字,如:改为FileSystemObject_38006 V: e& t7 S+ z
自己以后调用的时候使用这个就可以正常调用此组件了.
/ @' d. Y1 l: ^) ^* C) E/ ], O2.也要将clsid值也改一下/ h* p! `8 C& w9 h
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值/ B) i" F `, w. s5 R: f, \
可以将其删除,来防止此类木马的危害.
4 m9 l& L7 F; p7 @# G: ]4 g; f. Y3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
8 t7 S5 f. E' i& O' f9 N如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件7 B* ~. k' E6 u6 _. Y! i
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
; m. G# Q# Z* M4 A# f4 Hcacls C:\WINNT\system32\scrrun.dll /e /d guests
. u0 }9 s& }- u
/ T2 P- _) G; }8 t* F6 k$ H, w% f5 {/ {7 K" Q" p
二.使用WScript.Shell组件
. Z% {% |. R- W4 i% q) r% ] 1 `: j. e3 p5 P* S, s
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.. p! j5 n; W4 u8 A Y2 U
3 n7 T; Z2 ^' Y# ?) i
HKEY_CLASSES_ROOT\WScript.Shell\3 L2 r- \* T/ w8 c+ f
及5 a( _, P- O9 T6 V( ]/ }
HKEY_CLASSES_ROOT\WScript.Shell.1\
' R: K, s; U: C \9 M改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc0 t4 U9 |2 O) |
自己以后调用的时候使用这个就可以正常调用此组件了0 M3 b0 }5 }. H: |- F
. O& f5 w4 T C$ ?1 M
2.也要将clsid值也改一下6 V @2 L/ _ y1 S
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值- C. S4 a2 l) g
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值 i. B1 C4 W) {0 |) r- y2 q0 G
也可以将其删除,来防止此类木马的危害。: A+ o+ k; B, H: q: C1 _. d( }
% Y$ `$ Y& g5 X/ f9 ^% d三.使用Shell.Application组件
. n0 ~) T+ p4 N8 J7 q : A: R6 ~2 D1 ~1 n/ F9 a; Q
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。% F" L3 l; `8 j7 o5 O
HKEY_CLASSES_ROOT\Shell.Application\
6 r/ o5 M( O( ^ b. {3 `$ R及
/ a M+ t4 G6 q" kHKEY_CLASSES_ROOT\Shell.Application.1\$ l: Q1 k% F6 q( [9 ^6 \" ~# K
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
. k8 I8 N6 s6 Y6 k- [$ E- R' F1 [自己以后调用的时候使用这个就可以正常调用此组件了
: }5 `, A# B2 @- e1 e2.也要将clsid值也改一下$ i7 L% M$ Z i, k' _# N
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值1 X- M6 H6 G" p) W
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值1 F9 l9 l5 z; i' s( `& P
也可以将其删除,来防止此类木马的危害。
. t2 E, E2 e- g; k- a; @0 {" O; @) {1 }; v
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
# C( n \! F7 n; o) G& ucacls C:\WINNT\system32\shell32.dll /e /d guests% D G0 W( t8 x3 k, W
+ `1 w# Z# o. w, \% }* |. j2 l四.调用cmd.exe4 d# P# }. s' C/ L* h
- E6 n- J* q9 T( k/ J8 _禁用Guests组用户调用cmd.exe命令:9 y+ q8 k* y' o( m+ `, @
cacls C:\WINNT\system32\Cmd.exe /e /d guests
/ ?6 W3 Y2 n( F
2 @% P) ~1 Q4 T2 ?( L( d% M! Q五.其它危险组件处理:
. [' r2 X3 H, V4 T$ R1 i4 Z$ q5 y- a
0 A- O3 y j$ DAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) . ^& u2 W" e% l {
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)! o. Z) x4 u! v5 q# C1 _
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)$ F: t6 [ ]2 k1 C3 ]# v* d
1 l& G5 {9 |% X0 x9 j+ \7 y6 H7 F# M$ _$ t7 ~' P
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
6 g2 R, j3 D# {' h( e8 [' M% K) V# o
PS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
