补天网 - 网络管理技术精华   
 分页显示
返回《网络管理技术精华》 快速返回
作 者  主题:如何防止ASP木马在服务器上运行
ljys
=八面玲珑=
职务:观察员
积分:2980
贴数:1892
  日期:2005-2-4 12:33:55
如果您的服务器正在受ASP木马的困扰,那么希望这篇文章能帮您解决您所面临的问题。

  目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作。

  一、使用FileSystemObject组件

  FileSystemObject可以对文件进行常规操作

  可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
  改名为其它的名字,如:改为FileSystemObject_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值

  也可以将其删除,来防止此类木马的危害。

  注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  

  禁止Guest用户使用scrrun.dll来防止调用此组件。

  使用命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests

  二、使用WScript.Shell组件

  WScript.Shell可以调用系统内核运行DOS基本命令

  可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
  改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
  HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值

  也可以将其删除,来防止此类木马的危害。

三、使用Shell.Application组件

  Shell.Application可以调用系统内核运行DOS基本命令

  可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOT\Shell.Application\
  及HKEY_CLASSES_ROOT\Shell.Application.1\
  改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
  HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

  也可以将其删除,来防止此类木马的危害。

  禁止Guest用户使用shell32.dll来防止调用此组件。

  使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
  注:操作均需要重新启动WEB服务后才会生效。

  四、调用Cmd.exe

  禁用Guests组用户调用cmd.exe
  cacls C:\WINNT\system32\Cmd.exe /e /d guests

  通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。
loveyou$


=入木三分=
积分:18
贴数:2128
 日期: 2005-2-9 11:55:25  
以上只是针对ASP木马而言的,PHP的就难说了,如果要彻底防范ASP木马,加上上面的内容,在配合NTFS权限以及个分区及分区下的系统目录严格控制权限,要安全多些了
追风使者


=化零为整=
积分:33
贴数:67
 日期: 2005-2-9 15:51:25  
我很早就想知道了,现在终于可以了~~~~
kele.tong


=化零为整=
积分:22
贴数:22
 日期: 2005-5-15 16:20:13  
果真是精华。。。。
俺知道了
4922582


=化零为整=
积分:37
贴数:43
 日期: 2005-8-4 14:13:54  
喂上面的~~~马屁精!~.....
hfans
=化零为整=
积分:2
贴数:20
 日期: 2005-9-29 15:56:27  
不好整的就是还要想上传图片的UPLOAD.ASP,生怕被利用了!
254258
=化零为整=
积分:54
贴数:56
 日期: 2006-4-27 4:01:12  
我是菜鸟~~进来学一下
hlyitian
=化零为整=
积分:26
贴数:21
 日期: 2007-8-27 9:57:09  
呵呵,支持一下~!`
zhuxun
=化零为整=
积分:2
贴数:2
 日期: 2007-11-21 11:08:54  

四、调用Cmd.exe              ---------------------------------

这个我还是不怎么明白啊   请详细告之  谢谢啊
返回《网络管理技术精华》 快速返回

IE不断爆出漏洞,使用FireFox浏览器,会更安全一些:

如果您想发帖,请先注册或登录!


Copyright © 2006 Patching.net All rights reserved.