|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
2 A; r' i, h9 o+ y5 X
$ J, ^+ r7 x) e4 J$ Y. N/ c原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)8 d$ q+ r- g, M2 s
信息来源:3.A.S.T网络安全技术团队
* Y/ k* F, e2 A; C3 j/ r* L防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
4 U7 j+ ?2 I+ n/ SFileSystemObject组件---对文件进行常规操作.
' t3 O6 t9 @3 e! [5 L2 V) lWScript.Shell组件---可以调用系统内核运行DOS基本命令.3 `: L R6 L- [
Shell.Application组件--可以调用系统内核运行DOS基本命令.+ ], {/ {$ f' A! X& W9 j
, [* F N& Z* v s0 ]# i
一.使用FileSystemObject组件
# ?: ]1 }- b3 z9 ]5 p: S ) o0 e+ h; ?: _. m3 M, R
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.' i% ?* D1 I' N4 a a7 v. x
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\3 X6 ^. P' Z& I5 L
改名为其它的名字,如:改为FileSystemObject_3800
) c4 c5 J$ V; f& @自己以后调用的时候使用这个就可以正常调用此组件了.
# w1 \* O9 `! L; S( ^% h1 O* d2.也要将clsid值也改一下
& C5 A n: A Y- K c2 S+ {HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值! C# E1 f1 I6 M3 \' N7 _' c
可以将其删除,来防止此类木马的危害.
( N4 c' O- s' V* `8 K+ o0 ~7 Z( E3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll / ?; D7 E0 v5 P% u
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
6 O: S9 X4 _: t6 D/ j, X4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
) y5 `9 `# T3 ]( D4 _& Wcacls C:\WINNT\system32\scrrun.dll /e /d guests
, z" O a+ t3 s2 ^' ^; O8 _
; a0 r+ j. V E8 c- C' u
( ]0 y) \/ m+ ]! \$ E. K二.使用WScript.Shell组件
; Y$ V {1 n+ g
J% X6 Q! G, M+ Q; `1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
. L" q/ Y7 x2 b1 R0 n* u7 A4 R& p o
HKEY_CLASSES_ROOT\WScript.Shell\
) @ Z$ c; ?8 U及
2 K. j9 I' @; Z& iHKEY_CLASSES_ROOT\WScript.Shell.1\% J q( Z/ z$ c) }
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
m. I, U- E7 c6 c自己以后调用的时候使用这个就可以正常调用此组件了
% Y/ p9 A9 y" ]) K- u% q
4 I& ]5 R& F5 Q7 x9 J" Z+ k2.也要将clsid值也改一下
4 m2 K6 V. u& X& aHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值1 w& W: o6 ^1 Q; ]" L, {5 v! Y$ t
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值/ X5 k0 V4 o( p2 a
也可以将其删除,来防止此类木马的危害。
. _ l4 o( X. Z' O" c& b) W
2 a& U5 g0 Y$ O. k e* C0 j" _% O( m三.使用Shell.Application组件
9 v6 J$ ~ \: [, N9 E 5 e; z) S6 C1 _8 i- B% r
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
. h) c# z0 z. b1 A& t1 F% E2 DHKEY_CLASSES_ROOT\Shell.Application\
; H& i2 k, _ r/ T, n/ N及
5 a7 ~. x# k' X1 b+ j; D1 pHKEY_CLASSES_ROOT\Shell.Application.1\
9 C& {9 }/ l8 e% H. ~% O5 ^' C J改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
5 H+ J6 W' C9 P5 x$ J自己以后调用的时候使用这个就可以正常调用此组件了
0 w1 j$ b- F: Y; W4 u2.也要将clsid值也改一下3 Q" {, C9 D( Q/ W1 [
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值5 L1 O6 @1 _' t
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值" s$ K7 E7 `$ E* m8 G% L
也可以将其删除,来防止此类木马的危害。4 {0 S9 S; Y# W7 `
4 |; s. ~; \8 [; L0 j1 i) P& X
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
9 k9 i1 o% Y7 d% e; N: k1 P- Icacls C:\WINNT\system32\shell32.dll /e /d guests
# ~4 K# Q! ]( G- [4 a
/ J: }6 j& z9 K, R四.调用cmd.exe( W6 H$ @1 t4 | _& `
/ ~, u- @, Q. ]5 X6 R0 T8 A, A
禁用Guests组用户调用cmd.exe命令:" t& B! H; ~- R f
cacls C:\WINNT\system32\Cmd.exe /e /d guests8 Y9 ~4 ^: w3 P7 @
- m. Q# w0 m7 ^$ o4 G7 z, c9 i五.其它危险组件处理:
) v; Z, J4 ?2 X% X9 b8 p
* E& M& Z2 l' ~Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) . ?& H8 Z0 y: I0 z2 P- c1 K
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)5 ^' P" w, y$ A8 ~5 X* t* N
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)7 r# x( q" t, K8 B/ h3 e
* _( c9 Y" b0 f; m6 F ?
6 ^! ~9 E2 U, I' o1 j; \: l按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
/ X4 p8 [3 V! I
/ P+ y- v$ o0 H* X) S6 F$ ^8 KPS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
