【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [原创文章] 服务器如何防范ASP木马进一步的侵蚀 [打印本页]

作者: 柔肠寸断 时间: 2008-11-3 21:38 标题: 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

1 R. A+ @! s, G
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)/ z% a$ i: A) G1 O( m9 k; s
信息来源：3.A.S.T网络安全技术团队7 y: k; i! L* w w6 ]4 Q7 e+ K% ?& |" t( l
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.9 T, y/ B9 Z4 O4 v
FileSystemObject组件---对文件进行常规操作.( {* [* e( v" |* R9 U
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.
0 {& `7 W" ?) J6 G% h
一.使用FileSystemObject组件5 _' ]4 ]! d. _8 q

. ?& ~/ i1 B! V) u5 V, Y3 M4 o
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.: ~' p, n, _) m# v, \
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\4 |0 e% a. s, c9 U1 m. B9 T
改名为其它的名字，如：改为FileSystemObject_3800
( H- D$ O6 ]* C8 n3 r( w自己以后调用的时候使用这个就可以正常调用此组件了.
% F3 |# b( m" ~& f( Z0 L6 ?2.也要将clsid值也改一下
( V2 h. t. A# ~6 D) |HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值$ \7 y" C; [+ T6 s: M
可以将其删除，来防止此类木马的危害.2 x: n/ P; {+ d% h3 @& T/ P
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
7 w& U/ C' {! [9 T* b+ W8 e如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件$ k  c, f8 c* e3 U+ E2 p, ?( V& Y
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
2 Z% |7 R8 i3 @2 G; P1 Q2 |cacls C:\WINNT\system32\scrrun.dll /e /d guests/ \0 {  W7 [& J4 y, E3 j) x

二.使用WScript.Shell组件) ^" m/ @6 [, z. s- g, N

% C/ ?  k# m) ~+ [3 w8 Q
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
* b, X- F/ M6 ^  w, b% t
. o! Y0 X# t3 zHKEY_CLASSES_ROOT\WScript.Shell\9 o) ]4 m/ d4 M- C( |& |* v5 m/ ~
及5 ^6 J/ P8 ~0 o# y- k
HKEY_CLASSES_ROOT\WScript.Shell.1\
0 G( ~9 _$ M9 f! @' \改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc% \( e- ^/ z9 c
自己以后调用的时候使用这个就可以正常调用此组件了/ J4 ~: {+ ?% h# F) A- \" P7 M$ |4 m

( t& W( m- P4 o( T: ^. K* G2.也要将clsid值也改一下% `) l: [, ?8 G5 `
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值. m0 R1 h9 U! {8 K
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值) B, j" D& o& H( l  B
也可以将其删除，来防止此类木马的危害。+ o+ s) s3 H3 |% _

三.使用Shell.Application组件" ^" f7 S5 N8 h( I5 E7 h, I

" X" w: L& ~, `" Y: r1 e
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
  X8 G3 u6 j3 L9 aHKEY_CLASSES_ROOT\Shell.Application\9 |4 e2 z3 i6 f# K% t- Y# U- ?) o; K
及6 |" r( m1 X' [, S6 u
HKEY_CLASSES_ROOT\Shell.Application.1\( u0 T: ^* k/ f/ ~" M+ B
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
1 o5 r2 X! `+ O$ d5 b7 W自己以后调用的时候使用这个就可以正常调用此组件了5 x% ~+ A6 @* o' e4 D
2.也要将clsid值也改一下$ z, m$ v9 e. W1 E( f
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
" h% C8 Z4 t/ L' D1 {HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值2 f- E/ ]3 g  ?6 D  R- V
也可以将其删除，来防止此类木马的危害。: s/ u& J, H. y* ^# @" w2 h/ p  N. u

% ]. w! L" g  L2 z/ R3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
  y& F" ~* F: f; ]cacls C:\WINNT\system32\shell32.dll /e /d guests7 x8 p7 E' L* t

四.调用cmd.exe

7 L3 Y& y, K5 |0 S
禁用Guests组用户调用cmd.exe命令:
/ D; m3 a c) D8 `7 m. I: dcacls C:\WINNT\system32\Cmd.exe /e /d guests
( P) ]/ h7 {5 n. p& {! }

8 H% m: {* N; v
五.其它危险组件处理:

& k3 A( q# |* L, A4 @. FAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
" K, M6 d, [- X! y) k2 fWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)8 n6 Q% _+ M! ^) J J+ o& c9 [5 n
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)7 P# m. h( z* `6 f5 r/ l I7 ^

. @) R/ I/ y( b& t( ^
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.# v$ ^8 N. M2 m2 H! W, N

PS:有时间把图加上去，或者作个教程

作者: saitojie 时间: 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

作者: 柔肠寸断 时间: 2008-11-3 22:08

我本机测试了下

如果更改了相应的组件之后，ASP木马就完全打不开了

作者: saitojie 时间: 2008-11-3 22:10

有控发点图上来对比下

作者: 猪猪 时间: 2008-11-4 08:39

哦学习了知己知彼方能。。。。:)

作者: paomo86 时间: 2008-11-4 11:26

学习了……:D

作者: 小雄 时间: 2008-12-9 20:31

发点图比较容易吸收。。:lol 不过这样也行。

作者: 在意z 时间: 2012-5-16 00:23

谢谢楼主分享技术。。

欢迎光临【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)