|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
缺点:正版成本价格贵(盗版就不说了)、不够安全,大多数服务器用windows系统,没有linux安全web|平安|办理|木马 注重:本文所报告之设置办法与情况:合用于MicrosoftWindows2000Server/Win2003SERVER|IIS5.0/IIS6.0
1、起首我们来看看一样平常ASP木马、Webshell所使用的ASP组件有那些?我们以陆地木马为列:
<P>- <objectrunat="server"id="ws"scope="page"classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object><objectrunat="server"id="ws"scope="page"classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object><objectrunat="server"id="net"scope="page"classid="clsid:093FF999-1EA0-4079-9525-9614C3504B74"></object><objectrunat="server"id="net"scope="page"classid="clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B"></object><objectrunat="server"id="fso"scope="page"classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228"></object>shellStr="Shell"applicationStr="Application"ifcmdPath="wscriptShell"setsa=server.createObject(shellStr&"."&applicationStr)setstreamT=server.createObject("adodb.stream")setdomainObject=GetObject("WinNT://.")
复制代码 以上是陆地中的相干代码,从下面的代码我们不丢脸出一样平常ASP木马、Webshell次要使用了以下几类ASP组件:
①WScript.Shell(classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)
②WScript.Shell.1(classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)
③WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
④WScript.Network.1(classid:093FF999-1EA0-4079-9525-9614C3504B74)
⑤FileSystemObject(classid:0D43FE01-F093-11CF-8940-00A0C9054228)
⑥Adodb.stream(classid:{00000566-0000-0010-8000-00AA006D2EA4})
⑦Shell.applicaiton....
hehe,这下我们分明了伤害我们WEBSERVERIIS的最祸首罪魁是谁了!!入手下手操刀,comeon...
2:办理举措:
①删除或改名以下伤害的ASP组件:
WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application
入手下手------->运转--------->Regedit,翻开注册表编纂器,按Ctrl+F查找,顺次输出以上Wscript.Shell等组件称号和响应的ClassID,然落后行删除大概变动称号(这里倡议人人改名,假如有部分网页ASP程序使用了下面的组件的话呢,只需在将写ASP代码的时分用我们变动后的组件称号便可一般利用。固然假如你确信你的ASP程序中没有效到以上组件,仍是直
接删除心中扎实一些^_^,按惯例一样平常来讲是不会做到以上这些组件的。删除或改名后,iisreset重启IIS后便可升效。)
[注重:因为Adodb.Stream这个组件有良多网页中将用到,以是假如你的服务器是开假造主机的话,倡议酢情处置。]
②关于FileSystemObject(classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常说的FSO的平安成绩,假如您的服务器必须要用到FSO的话,(部分假造主机服务器一样平常需开FSO功效)能够参照自己的另外一篇关于FSO平安办理举措的文章:MicrosoftWindows2000ServerFSO平安隐患办理举措。假如您确信不要用到的话,能够间接反注册此组件便可。
③间接反注册、卸载这些伤害组件的办法:(有用于不想用①及②类此类啰嗦的办法)
卸载wscript.shell工具,在cmd下或间接运转:regsvr32/u%windir%system32WSHom.Ocx
卸载FSO工具,在cmd下或间接运转:regsvr32.exe/u%windir%system32scrrun.dll
卸载stream工具,在cmd下或间接运转:regsvr32/s/u"C:ProgramFilesCommonFilesSystemadomsado15.dll"
假如想恢复的话只必要往失落/U便可从头再注册以上相干ASP组件比方:regsvr32.exe%windir%system32scrrun.dll
④关于Webshell中使用setdomainObject=GetObject("WinNT://.")来猎取服务器的历程、服务和用户等信息的提防,人人能够将服务中的Workstation[供应收集链结和通信]即Lanmanworkstation服务中断并禁用便可。此处置后,Webshell显现历程处将为空缺。
3依照上1、2办法对ASP类伤害组件举行处置后,用阿江的asp探针测试了一下,"服务器CPU概况"和"服务器操纵体系"基本查不到,内容为空缺的。再用陆地测试Wsript.Shell来运转cmd命令也是提醒Active没法创立对像。人人就都能够不再要为ASP木马伤害到服务器体系的平安而担扰了。
固然服务器平安远远不至这些,这里为人人先容的仅仅是自己在处置ASP木马、Webshell上的一些心得体味。鄙人一篇中将为人人先容怎样简复杂单的避免他人在服务器上实行如netuser之类的命令,防溢出类打击失掉cmdshell,和实行增加用户、改NTFS设置权限到终端登录等等的最复杂无效的提防办法。
本文李泊林/LeeBolin资深体系工程师、专业收集平安参谋。已乐成为国际多家年夜中型企业,ISP服务商供应了完全的收集平安办理计划。特别善于于全体收集平安计划的计划、年夜型收集工程的筹划、和供应完全的各类服务器系列平安全体办理计划。
ASP是依赖组件的,能访问数据库的组件好多就有好多种,再有就是你微软的工具可是什么都要收钱的啊! |
|