【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [原创文章] 服务器如何防范ASP木马进一步的侵蚀 [打印本页]

作者: 柔肠寸断 时间: 2008-11-3 21:38 标题: 服务器如何防范ASP木马进一步的侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

* l( W! `: j3 e k0 W% _! B& ]
' f2 B# e( v8 G- k& x( M. D; m
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)+ @# |( B7 X! i1 C3 u& W
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击." \5 O6 G5 _8 i0 I
FileSystemObject组件---对文件进行常规操作.1 o2 ^& S" Q- |; b4 g( a7 W
WScript.Shell组件---可以调用系统内核运行DOS基本命令.! P/ ?: h; l3 _6 Y( q
Shell.Application组件--可以调用系统内核运行DOS基本命令. k' T0 `, }1 ?9 Z' C

一.使用FileSystemObject组件* r: v8 x& O: `! H; p

; L8 L/ v* c6 D! Z& [# i
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
4 k3 p! o; b1 x# E- k5 r- pHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
4 I: d# C  \; [3 A/ q改名为其它的名字，如：改为FileSystemObject_3800
6 [5 ?, m% v% g9 |" @+ k% Z% v6 F自己以后调用的时候使用这个就可以正常调用此组件了.3 F: _4 d% u( g) C
2.也要将clsid值也改一下
  a8 i6 x: j& w3 RHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值! d, u2 r. P3 w7 x
可以将其删除，来防止此类木马的危害.
7 n5 J9 n% _' k3 v. c# `8 g) z- i/ v3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  4 y% y! C1 c& m' H! T% v3 n' @
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
. n6 d+ p; I: S& c4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
! u' v0 c/ n. H5 Mcacls C:\WINNT\system32\scrrun.dll /e /d guests
( N7 W$ ^  X" Y" M, |* g

0 e. b3 E' W$ G! H
3 c7 l$ \) \/ R0 l! y$ p
二.使用WScript.Shell组件5 z+ R1 k! h2 Q1 w& Q& ?0 R0 l

5 n/ M5 _6 u3 g9 X
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
6 @% J9 j0 ~) C9 Q( V
/ _# \6 R$ I) t: F" d: ]6 r( dHKEY_CLASSES_ROOT\WScript.Shell\& a! u% S* A" [4 ]& n5 K/ U3 T1 C
及
4 |' R3 S8 t8 V1 vHKEY_CLASSES_ROOT\WScript.Shell.1\( Q4 M0 {- G2 Y3 `" g4 x: \( Y4 R8 |
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
m3 G- n0 b# z1 Q: P8 \自己以后调用的时候使用这个就可以正常调用此组件了* }' Y9 | C" j1 Q

8 `" p8 A5 `. ^5 w2.也要将clsid值也改一下; S. S$ S9 K& Z
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
8 A3 }2 F2 j$ I$ T$ w& JHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
7 w5 W# N; a o# Y6 u也可以将其删除，来防止此类木马的危害。
8 ^& Y+ g0 ~3 K9 c5 _9 ^

; B$ L3 w. B7 i1 R
三.使用Shell.Application组件 Z8 G" m0 p0 V# j9 {# k2 i

# `, {  M/ M, g) r
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。* n  o7 K) b& _! B4 g% @
HKEY_CLASSES_ROOT\Shell.Application\, ~, Y3 r  l3 s/ O: @
及6 v- `$ B  k8 R4 g
HKEY_CLASSES_ROOT\Shell.Application.1\
7 p2 X) t! o9 Q改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName) b2 D  ?* @, K6 ]
自己以后调用的时候使用这个就可以正常调用此组件了5 P* J1 M. d) F: }5 d' I' N
2.也要将clsid值也改一下1 x" U, Z3 H: R6 Z
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值$ a" H7 Q: f  l+ i& \, T
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
! j7 B) K, B7 x/ x, [8 q0 g" T- b7 a也可以将其删除，来防止此类木马的危害。
/ g2 s3 Q! ]* c% U5 }5 i2 b, c$ |. b4 E- D8 [; z
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
  F" U4 T! A3 Y* P8 ocacls C:\WINNT\system32\shell32.dll /e /d guests
% z  }4 T& Q. e2 b* y  B

四.调用cmd.exe8 ^) h& t; G" @% l, \5 E4 H

5 _7 l% l% ]# E# h6 |) G! p禁用Guests组用户调用cmd.exe命令:
. L- ^3 P' \& w9 B' tcacls C:\WINNT\system32\Cmd.exe /e /d guests
/ r- W6 X8 Z: Q9 N0 a9 P

6 R+ P4 w/ ~8 T9 j, X5 W3 |( `

五.其它危险组件处理:

+ j7 ~% M& @% s& s7 o5 u
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 9 f. a, [ M4 k8 i4 f* n+ f
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
) u+ y0 ^4 C5 X7 p1 L8 H$ ?6 RWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)# S; L1 Y. w" K, z+ g( ^

# e& e4 b3 j: p  M
! B3 R1 |3 P$ L- m
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.+ a  C# R8 d$ [9 v2 c
- t: I9 X3 p( _' J) P/ `  s9 m; n
PS:有时间把图加上去，或者作个教程

作者: saitojie 时间: 2008-11-3 21:43

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

作者: 柔肠寸断 时间: 2008-11-3 22:08

我本机测试了下/ |; [$ m1 D j( W. a
/ V, ~* D0 l' P8 v
如果更改了相应的组件之后，ASP木马就完全打不开了

作者: saitojie 时间: 2008-11-3 22:10

有控发点图上来对比下

作者: 猪猪 时间: 2008-11-4 08:39

哦学习了知己知彼方能。。。。:)

作者: paomo86 时间: 2008-11-4 11:26

学习了……:D

作者: 小雄 时间: 2008-12-9 20:31

发点图比较容易吸收。。:lol 不过这样也行。

作者: 在意z 时间: 2012-5-16 00:23

谢谢楼主分享技术。。

欢迎光临【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)