|
|
域名空间 下载中心 社区论坛 信息公告 my小屋 | |
 |
联系我们 设为首页 加入收藏 |
 |
|
 |
首页 | 新闻资讯 | 编程开发 | 网页设计 | 图形图象 | 网络媒体 | 网站模板 | 数 据 库 | 投稿 论坛 | 操作系统 | 系统优化 | 网络安全 | 黑客技术 | 硬件学堂 | 硬件报价 | 服 务 器 | 地图 专题 | 应用软件 | 聊天通讯 | q q 专栏 | 建站经验 | 在线工具 | 站长club | 注 册 表 | 旧版 社会 | 游戏娱乐 | 设计欣赏 | 疑难解答 | 社区论坛 | 网络赚钱 | 网站地图 | 广告服务 | 服务 |
 |
 |
 |
 当前位置:首页>>网络安全>>安全防范>>正文 |
新版上线![旧版] |  |
|||
注:打开慢时请稍等
|
本文作者:李泊林/leebolin 资深系统工程师、专业网络安全顾问。 已成功为国内多家大中型企业,isp服务商提供了完整的网络安全解决方案。尤其擅长于整体网络安全方案的设计、大型网络工程的策划、以及提供完整的各种服务器系列安全整体解决方案。 asp木马、webshell之安全防范解决办法正文内容: 注意:本文所讲述之设置方法与环境:适用于microsoft windows 2000 server/win2003 server | iis5.0/iis6.0 1、首先我们来看看一般asp木马、webshell所利用的asp组件有那些?我们以海洋木马为列: <object runat="server" id="ws" scope="page" classid="clsid:72c24dd5-d70a-438b-8a42-98424b88afb8"> </object> <object runat="server" id="ws" scope="page" classid="clsid:f935dc22-1cf0-11d0-adb9-00c04fd58a0b"> </object> <object runat="server" id="net" scope="page" classid="clsid:093ff999-1ea0-4079-9525-9614c3504b74"> </object> <object runat="server" id="net" scope="page" classid="clsid:f935dc26-1cf0-11d0-adb9-00c04fd58a0b"> </object> <object runat="server" id="fso" scope="page" classid="clsid:0d43fe01-f093-11cf-8940-00a0c9054228"> </object> shellstr="shell" applicationstr="application" if cmdpath="wscriptshell" set sa=server.createobject(shellstr&"."&applicationstr) set streamt=server.createobject("adodb.stream") set domainobject = getobject("winnt://.") 以上是海洋中的相关代码,从上面的代码我们不难看出一般asp木马、webshell主要利用了以下几类asp组件: ① wscript.shell (classid:72c24dd5-d70a-438b-8a42-98424b88afb8) ② wscript.shell.1 (classid:f935dc22-1cf0-11d0-adb9-00c04fd58a0b) ③ wscript.network (classid:093ff999-1ea0-4079-9525-9614c3504b74) ④ wscript.network.1 (classid:093ff999-1ea0-4079-9525-9614c3504b74) ⑤ filesystem object (classid:0d43fe01-f093-11cf-8940-00a0c9054228) ⑥ adodb.stream (classid:{00000566-0000-0010-8000-00aa006d2ea4}) ⑦ shell.applicaiton.... hehe,这下我们清楚了危害我们web server iis的最罪魁祸首是谁了!!开始操刀,come on... 2:解决办法: ① 删除或更名以下危险的asp组件: wscript.shell、wscript.shell.1、wscript.network、wscript.network.1、adodb.stream、shell.application 开始------->运行--------->regedit,打开注册表编辑器,按ctrl+f查找,依次输入以上wscript.shell等组件名称以及相应的classid,然后进行删除或者更改名称(这里建议大家更名,如果有部分网页asp程序利用了上面的组件的话呢,只需在将写asp代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的asp程序中没有用到以上组件,还是直 接删除心中踏实一些^_^,按常规一般来说是不会做到以上这些组件的。删除或更名后,iisreset重启iis后即可升效。) [注意:由于adodb.stream这个组件有很多网页中将用到,所以如果你的服务器是开虚拟主机的话,建议酢情处理。] ② 关于 file system object (classid:0d43fe01-f093-11cf-8940-00a0c9054228)即常说的fso的安全问题,如果您的服务器必需要用到fso的话,(部分虚拟主机服务器一般需开fso功能)可以参照本人的另一篇关于fso安全解决办法的文章:microsoft windows 2000 server fso 安全隐患解决办法。如果您确信不要用到的话,可以直接反注册此组件即可。 ③ 直接反注册、卸载这些危险组件的方法:(实用于不想用①及②类此类烦琐的方法) 卸载wscript.shell对象,在cmd下或直接运行:regsvr32 /u %windir%\system32\wshom.ocx 卸载fso对象,在cmd下或直接运行:regsvr32.exe /u %windir%\system32\scrrun.dll 卸载stream对象,在cmd下或直接运行: regsvr32 /s /u "c:\program files\common files\system\ado\msado15.dll" 如果想恢复的话只需要去掉 /u 即可重新再注册以上相关asp组件例如:regsvr32.exe %windir%\system32\scrrun.dll ④ 关于webshell中利用set domainobject = getobject("winnt://.")来获取服务器的进程、服务以及用户等信息的防范,大家可以将服务中的workstation[提供网络链结和通讯]即lanmanworkstation服务停止并禁用即可。此处理后,webshell显示进程处将为空白。 3 按照上1、2方法对asp类危险组件进行处理后,用阿江的asp探针测试了一下,"服务器cpu详情"和"服务器操作系统"根本查不到,内容为空白的。再用海洋测试wsript.shell来运行cmd命令也是提示active无法创建对像。大家就都可以再也不要为asp木马危害到服务器系统的安全而担扰了。 当然服务器安全远远不至这些,这里为大家介绍的仅仅是本人在处理asp木马、webshell上的一些心得体会。在下一篇中将为大家介绍如何简简单单的防止别人在服务器上执行如net user之类的命令,防溢出类攻击得到cmdshell,以及执行添加用户、改ntfs设置权限到终端登录等等的最简单有效的防范方法。 编辑:黑鹰 [发送给好友] [打印本页] [关闭窗口] [返回顶部] 上一篇:windows 2000 server fso 安全隐患解决 下一篇:使用netflow分析网络异常流量(1) 转载请注明来源:www.iyit.net 特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
| 最新更新 | 热点排行 | 推荐新闻 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 友情链接 | ||||||
 |
设置首 页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接 |  |
| |||||||
易特网络技术