|
  
- 帖子
- 3852
- 积分
- 13044
- 威望
- 16780
- 金钱
- 36761
- 在线时间
- 1139 小时
         
|
很多网站被上传了webshell,自然就危害到了服务器的安全,现在我就来谈谈怎么防止ASP木马的进一步侵蚀,阿呆发布了一篇关于服务器安全的文章,大家可以去看看
9 ?# Z1 ~- @- {+ a! R3 Z1 K/ [$ H原创作者:柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)1 e, {3 l+ B! \* `2 r* W
信息来源:3.A.S.T网络安全技术团队
% v: p# g2 ~) K) s" g防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.3 m5 w V) L3 @3 D
FileSystemObject组件---对文件进行常规操作.
, }; M9 U6 x, s) L/ X- TWScript.Shell组件---可以调用系统内核运行DOS基本命令.
% ?# S/ C& e- J6 T5 ]/ P# J* GShell.Application组件--可以调用系统内核运行DOS基本命令.# Q6 {' {2 O0 n; U
+ t2 G8 h9 z( ^3 f' [$ f
一.使用FileSystemObject组件
: a v' a: E1 d' s" p5 P* Q , |5 j' ?; M; a6 k, c9 O' b2 j4 y
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害." R1 B+ u8 F! ?( N8 S, G
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
4 s `0 T: J0 I" `' H改名为其它的名字,如:改为FileSystemObject_3800- [+ x' J: k# P7 S9 `, \0 b# T
自己以后调用的时候使用这个就可以正常调用此组件了.
7 ~' `) p- B% j9 S$ Z2.也要将clsid值也改一下" _& `* |$ X/ ^) t
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
, E* u7 @# ~; V- R可以将其删除,来防止此类木马的危害.
( Z% o0 x7 f1 [. Q3 t$ R3 f3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll " D, c( n6 j. G, M( L" M$ w
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
9 g9 j0 u0 N/ j: d! F S$ B4.禁止Guest用户使用scrrun.dll来防止调用此组件命令: t2 K- p) h z8 O9 P; a
cacls C:\WINNT\system32\scrrun.dll /e /d guests
9 I2 Y& Y0 f% J9 i% X7 f
: |4 D2 G/ t. |& K1 A. S# P- y
' H$ Y2 [; r5 m0 s3 ^+ \2 f" {二.使用WScript.Shell组件
( F7 N; @4 B$ c" s) ~4 }9 j a3 r, }/ i6 p' Z, E
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
& h5 t4 p: X6 b J' q6 m
( D9 m7 ~: k6 A% z4 rHKEY_CLASSES_ROOT\WScript.Shell\
" \5 i4 u# ^7 ~! P4 Y0 c及
. p2 g9 ~' Z+ l: G6 | T3 e2 LHKEY_CLASSES_ROOT\WScript.Shell.1\! u- j! K4 z. M% ?" m' B, S* Y
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
# B# n6 s9 n+ `( i) Y# V) R$ J自己以后调用的时候使用这个就可以正常调用此组件了
# e; A% }- C* W0 r
( P2 ~0 }: v! P% S Q+ Q2.也要将clsid值也改一下
$ y- S) {5 M' ~4 NHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值% g' ?/ e& o2 I+ f$ O
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
# p4 {! g- Z& m7 ^* k: `/ c1 R也可以将其删除,来防止此类木马的危害。
5 f3 ?$ Q7 h+ v) @
三.使用Shell.Application组件) x7 ~7 g/ o) K4 i% t/ @+ Z
1 B \2 d1 O0 a1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
; z- Y; Z" p& s F/ U( XHKEY_CLASSES_ROOT\Shell.Application\
% G6 ^9 f9 w6 L! r及
4 n* n2 p8 s; J$ d" vHKEY_CLASSES_ROOT\Shell.Application.1\
! x; t- v! a+ _! D; g$ @改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
+ ~0 e& s1 f Z- Y: N: G# t自己以后调用的时候使用这个就可以正常调用此组件了
$ ^' m: ^" w7 G3 J9 {1 D; n2.也要将clsid值也改一下
, M2 r- {) g1 Z9 b" m! n6 mHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值+ J* ~; {/ i ^0 U4 ^( z
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值1 A: A r B0 ?2 ` J0 `; H5 p
也可以将其删除,来防止此类木马的危害。
1 O0 S1 l D6 o- Y4 z" @+ r; i- R0 \) r# N5 y
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:4 O, e, n" Y" p* k* g8 ]
cacls C:\WINNT\system32\shell32.dll /e /d guests( w8 ~9 R; x! }2 h/ X. F4 X
四.调用cmd.exe
) o' t+ a" C$ ]& _+ m. d& B
1 b. E8 \/ l" s2 h7 Y禁用Guests组用户调用cmd.exe命令:' o2 E0 ^8 G- g' s4 K" a4 p
cacls C:\WINNT\system32\Cmd.exe /e /d guests. H* M- q- z# H( g5 P
1 d; S2 p* g% l# t- T, e, [/ A; Z& u. i6 D( G! d, H, s
五.其它危险组件处理:
$ O. ]8 j* x) w& I5 J " {5 I7 G# z( a% N8 @
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) - ?0 Y, L+ k, T
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
( @* G: h6 E& P& Z2 S+ rWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)" d$ R) [: d% s
/ [; u% w! O: r$ j+ C! v按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
7 b6 g% n0 O2 e7 h- I
& I- h- ]% t" l) `; n% hPS:有时间把图加上去,或者作个教程 |
|
发表于 2008-11-3 21:38
| 
发表于 2008-11-3 21:43
| 
发表于 2008-11-4 08:39
| 
