|
|
友情提示:在Microsoft Windows 2000 Server/Win2003 SERVER IIS5.0/IIS6.0环境下适用以下方案,
1、我们以海洋木马为列,分析一般ASP木马、Webshell所利用的ASP组件?
〈object runat="server" id="ws" scope="page" classid="clsid:72C24DD5-D70A-438B-8A42-98***24B88AFB8"〉〈/object〉
〈object runat="server" id="ws" scope="page" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"〉〈/object〉
〈object runat="server" id="net" scope="page" classid="clsid:093FF999-1EA0-4079-9525-9614C3504B74"〉〈/object〉
〈object runat="server" id="net" scope="page" classid="clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B"〉〈/object〉
〈object runat="server" id="fso" scope="page" classid="clsid:0D43FE01-F093-11CF-8940-00A0C90***28"〉〈/object〉
shellStr="Shell"
applicationStr="Application"
if cmdPath="wscriptShell"
set sa=server.createObject(shellStr&"."&applicationStr)
set streamT=server.createObject("adodb.stream")
set domainObject = GetObject("WinNT://.")
从部分海洋木马的代码中我们不难看出一般ASP木马、Webshell主要采用了以下①②两类ASP组件:
① WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98***24B88AFB8)
② WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)
③ WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74)
④ WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
⑤ FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C90***28)
⑥ Adodb.stream (classid:{000****0566-0000-0010-8000-00AA006D2EA4})
⑦ Shell.applicaiton....
现在我们清楚了让WEB SERVER IIS导致危害的最罪魁祸!!哈哈!OK,开始产出行动,come on...
2:处理方案正文:
① 查找危险的ASP组件进行删除或更名:
WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application
按照开始--运行--Regedit,命令调出注册表编辑器,查找(Ctrl+F),按照以上顺序输入危险组件名称和相对应的ClassID,确认无误后进行删除操作或者更改名称操作(小提示:操作这一步最好修改名称,预防部分网页使用到这些我们修改过的ASP程序,如果需要我们只需在写的ASP代码中用我们修改后的组件名称就可以解决。如果你有足够的信心确保ASP程序中没有用到这些组件,还是可以直接删除,毕竟这样心中踏实一些^_^,不过通常是不会做到以上这些组件的。删除或更名后,iisreset重启IIS后就可以升效。)
[注意:Adodb.Stream组件会有一些网页中会涉及到,所以如果你的服务器是开虚拟主机的话,建议酢情处理。]
② 关于 File System Object (classid:0D43FE01-F093-11CF-8940-00A0C90***28)即常说的FSO的安全问题,部分虚拟主机服务器一般需开FSO功能,这样的话可以参照本人的另一篇关于FSO安全解决方案的文章:Microsoft Windows 2000 Server FSO 安全隐患解决方案。
③ 通过反注册、卸载这些危险组件的方案:(提供给不想用①及②类此类烦琐的方法)
卸载wscript.shell组件,cmd中输入:regsvr32 /u %windir%\system32\WSHom.Ocx
卸载FSO组件,cmd中输入:regsvr32.exe /u %windir%\system32\scrrun.dll
卸载stream组件,cmd中输入: regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"
恢复以上操作仅需去掉 /U 就可以重新注册这些相关ASP组件例如:regsvr32.exe %windir%\system32\scrrun.dll
④ Webshell通常利用set domainObject = GetObject("WinNT://.")获取服务器的进程、服务和用户等信息的防范,我们可以将服务中的Workstation[提供网络链结和通讯]Lanmanworkstation服务停止禁用就可以了。这样处理之后的Webshell就会显示进程空白。
3 通过上述1、2方法对ASP类危险组件进行处理后,阿江asp探针,“服务器CPU详情”和“服务器操作系统”就再也查不到内容了,都会变为空白。用海洋测试Wsript.Shell运行cmd命令也会提示Active无法创建对像。从此再也不要为ASP木马危害到服务器系统的安全而担扰了。
学会了这些,不过要告诉大家的是服务器安全远远不至这些,这些仅是本人在处理ASP木马、Webshell上的一些经验。
智强互联免费协助解決你的论坛问题。美国虚拟主机仅售16元,支持建立多站多域名。负载均衡主机99%在线率!
免费提供DZ网站安装。搬站。提供美国服务器仅售450元.免费安装Windows系统。
|
|
发表于 2012-9-11 11:21:32
已绑定手机
