如何防止ASP木马
ASP
木馬攻擊原理一般是通過(guò)文件上傳漏洞,傳送木馬文件到服務(wù)器里,然后運(yùn)行就可以讀取你系統(tǒng)里的所有資料了。一般的ASP木馬文件是利用FSO組件進(jìn)行操作的,也有不用FSO組件的。針對(duì)如上情況,要如何去防止ASP木馬,就必須做好如下三方面:
????1、服務(wù)器的權(quán)限設(shè)置
????2、做好ASP程序的驗(yàn)證功能,防止有漏洞被利用
????3、關(guān)閉或更改相關(guān)的組件名稱(chēng)
????1,2兩方面可以查閱創(chuàng)新網(wǎng)站的相關(guān)文章,在這里主要是說(shuō)第3個(gè)方面
????1)針對(duì)利用FSO寫(xiě)的ASP木馬的防止辦法是最好的防止方式是把FSO功能關(guān)掉
???????在開(kāi)始--運(yùn)行處輸入:Regsvr32??/u??c:/windows/system32/scrrun.dll
???????如果想再用該組件可以在運(yùn)行處再輸入
???????Regsvr32??c:/windows/system32/scrrun.dll?重新注冊(cè)一下便可以用了。
???????網(wǎng)絡(luò)上現(xiàn)在有些文章在說(shuō)在
???????查找注冊(cè)表中?
???????HKEY_CLASSES_ROOT/Scripting.FileSystemObject?鍵值?
???????將其更改成為你想要的字符串(右鍵-->"重命名"),比如更改成為???
???????HKEY_CLASSES_ROOT/Scripting.FileSystemObject2?
???????這樣,在ASP就必須這樣引用這個(gè)對(duì)象了:
????????Set?fso?=?CreateObject("Scripting.FileSystemObject2")?
???????而不能使用:?Set?fso?=?CreateObject("Scripting.FileSystemObject")?
???????這種方法是行不通的,因?yàn)镕SO除了用對(duì)象調(diào)用,還可以用調(diào)用classid
???????比如:<object?runat="server"?id="fso"?scope="page"?
?????????????classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228"></object>
???????這樣也能調(diào)用
???????所以說(shuō)要改的話還行查找0D43FE01-F093-11CF-8940-00A0C9054228這個(gè)鍵值,然后改掉,但是這樣改完以后FSO也就不能用了。所以推薦還是把組件關(guān)掉,如果要上傳的話可以自行編寫(xiě)一個(gè)上傳組件。這樣會(huì)安全一些。
????(2)免FSO對(duì)像就能使用的ASP木馬防范方法
????通 過(guò)上面的代碼,我們可以看出這段代碼的SHELL是通過(guò)shell.application?建立?shell?對(duì)像的,我們只要在注冊(cè)表里查找鍵值 shell.application,shell.application.1和?wscript.shell,wscript.shell.1?鍵值, 然后把這些鍵值刪除,就能防止這一類(lèi)的ASP木馬攻擊了,刪除這些鍵值對(duì)你的服務(wù)器及ASP支持等不會(huì)造成影響的,所以請(qǐng)放心刪除。
????各 黑客網(wǎng)站上還有各種各樣的WEBSHELL下載,除了ASP的WEBSHELL以外,還有CGI、PHP、JSP的等等。基本上都是大同小異的,還有一些 WEBSHELL是調(diào)用系統(tǒng)下的CMD.EXE命令運(yùn)行的。但這些調(diào)用服務(wù)器系統(tǒng)CMD.EXE的WEBSHELL木馬在Win2003下沒(méi)法運(yùn)行了,能 調(diào)用CMD.EXE命令的WEBSHELL只在Win2K下測(cè)試通過(guò),在Win2003下,那些ASP、CGI、PHP、JSP的WEBSHELL已經(jīng)不 能調(diào)用CMD.EXE的命令了。原因很簡(jiǎn)單,因?yàn)閃in2K下的CMD.EXE命令在默認(rèn)情況下是能以匿名及來(lái)賓權(quán)限訪問(wèn)的,而Win2003系統(tǒng) 下,CMD.EXE命令卻禁止了“Everyone”匿名訪問(wèn)及“Guests”組的訪問(wèn)權(quán)限了,所以各種調(diào)用CMD.EXE的WEBSHELL木馬都沒(méi) 法運(yùn)行了,這也算是Win2003系統(tǒng)安全上的一點(diǎn)進(jìn)步吧。
????當(dāng)然第個(gè)對(duì)像都有相應(yīng)的classid值,一樣找出來(lái)進(jìn)行刪除
????wscript.shell?(classid:72c24dd5-d70a-438b-8a42-98424b88afb8)?
????wscript.shell.1?(classid:f935dc22-1cf0-11d0-adb9-00c04fd58a0b)?
????wscript.network?(classid:093ff999-1ea0-4079-9525-9614c3504b74)?
????wscript.network.1?(classid:093ff999-1ea0-4079-9525-9614c3504b74)?
????adodb.stream?(classid:{00000566-0000-0010-8000-00aa006d2ea4})
????經(jīng)過(guò)如上處理后,哪怕是有ASP木馬傳到你的服務(wù)器,也能阻止它的一些破壞行為。
????1、服務(wù)器的權(quán)限設(shè)置
????2、做好ASP程序的驗(yàn)證功能,防止有漏洞被利用
????3、關(guān)閉或更改相關(guān)的組件名稱(chēng)
????1,2兩方面可以查閱創(chuàng)新網(wǎng)站的相關(guān)文章,在這里主要是說(shuō)第3個(gè)方面
????1)針對(duì)利用FSO寫(xiě)的ASP木馬的防止辦法是最好的防止方式是把FSO功能關(guān)掉
???????在開(kāi)始--運(yùn)行處輸入:Regsvr32??/u??c:/windows/system32/scrrun.dll
???????如果想再用該組件可以在運(yùn)行處再輸入
???????Regsvr32??c:/windows/system32/scrrun.dll?重新注冊(cè)一下便可以用了。
???????網(wǎng)絡(luò)上現(xiàn)在有些文章在說(shuō)在
???????查找注冊(cè)表中?
???????HKEY_CLASSES_ROOT/Scripting.FileSystemObject?鍵值?
???????將其更改成為你想要的字符串(右鍵-->"重命名"),比如更改成為???
???????HKEY_CLASSES_ROOT/Scripting.FileSystemObject2?
???????這樣,在ASP就必須這樣引用這個(gè)對(duì)象了:
????????Set?fso?=?CreateObject("Scripting.FileSystemObject2")?
???????而不能使用:?Set?fso?=?CreateObject("Scripting.FileSystemObject")?
???????這種方法是行不通的,因?yàn)镕SO除了用對(duì)象調(diào)用,還可以用調(diào)用classid
???????比如:<object?runat="server"?id="fso"?scope="page"?
?????????????classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228"></object>
???????這樣也能調(diào)用
???????所以說(shuō)要改的話還行查找0D43FE01-F093-11CF-8940-00A0C9054228這個(gè)鍵值,然后改掉,但是這樣改完以后FSO也就不能用了。所以推薦還是把組件關(guān)掉,如果要上傳的話可以自行編寫(xiě)一個(gè)上傳組件。這樣會(huì)安全一些。
????(2)免FSO對(duì)像就能使用的ASP木馬防范方法
????通 過(guò)上面的代碼,我們可以看出這段代碼的SHELL是通過(guò)shell.application?建立?shell?對(duì)像的,我們只要在注冊(cè)表里查找鍵值 shell.application,shell.application.1和?wscript.shell,wscript.shell.1?鍵值, 然后把這些鍵值刪除,就能防止這一類(lèi)的ASP木馬攻擊了,刪除這些鍵值對(duì)你的服務(wù)器及ASP支持等不會(huì)造成影響的,所以請(qǐng)放心刪除。
????各 黑客網(wǎng)站上還有各種各樣的WEBSHELL下載,除了ASP的WEBSHELL以外,還有CGI、PHP、JSP的等等。基本上都是大同小異的,還有一些 WEBSHELL是調(diào)用系統(tǒng)下的CMD.EXE命令運(yùn)行的。但這些調(diào)用服務(wù)器系統(tǒng)CMD.EXE的WEBSHELL木馬在Win2003下沒(méi)法運(yùn)行了,能 調(diào)用CMD.EXE命令的WEBSHELL只在Win2K下測(cè)試通過(guò),在Win2003下,那些ASP、CGI、PHP、JSP的WEBSHELL已經(jīng)不 能調(diào)用CMD.EXE的命令了。原因很簡(jiǎn)單,因?yàn)閃in2K下的CMD.EXE命令在默認(rèn)情況下是能以匿名及來(lái)賓權(quán)限訪問(wèn)的,而Win2003系統(tǒng) 下,CMD.EXE命令卻禁止了“Everyone”匿名訪問(wèn)及“Guests”組的訪問(wèn)權(quán)限了,所以各種調(diào)用CMD.EXE的WEBSHELL木馬都沒(méi) 法運(yùn)行了,這也算是Win2003系統(tǒng)安全上的一點(diǎn)進(jìn)步吧。
????當(dāng)然第個(gè)對(duì)像都有相應(yīng)的classid值,一樣找出來(lái)進(jìn)行刪除
????wscript.shell?(classid:72c24dd5-d70a-438b-8a42-98424b88afb8)?
????wscript.shell.1?(classid:f935dc22-1cf0-11d0-adb9-00c04fd58a0b)?
????wscript.network?(classid:093ff999-1ea0-4079-9525-9614c3504b74)?
????wscript.network.1?(classid:093ff999-1ea0-4079-9525-9614c3504b74)?
????adodb.stream?(classid:{00000566-0000-0010-8000-00aa006d2ea4})
????經(jīng)過(guò)如上處理后,哪怕是有ASP木馬傳到你的服務(wù)器,也能阻止它的一些破壞行為。
總結(jié)
- 上一篇: storyboard 苹果启动图_使用X
- 下一篇: SI4703-C19-GMR音频调谐器2