shanzh4 2007-11-2 14:43
防止ASP木马在服务器上运行
防止ASP木马在服务器上运行 �e�\�D$U�A�G�H:O�I�x'P
--[url=http://www.sz-benet.net]深圳北大青鸟[/url]网络工程师培训资料%P�_)L�B-C�J�f4U2R
如果您的服务器正在受ASP木马的困扰,那么希望这篇文章能帮您解决您所面临的问题。
/K�a.^�c�z
�c�w:I0J�z)b
目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作。
�Y�L
A�C/j�e'`&C�]�@�F
2b�J�`�a2n�\
一、使用FileSystemObject组件 �X�G�E3j�R6`�c'_�Q
2{3{%m'P8~3S"g�F&l�J3M/A
FileSystemObject可以对文件进行常规操作
4S+C�L%v�J�t�Q
�s!t�n�C�H"T
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
0u0P�W�~�E�G�{�b
1`�_�T
J�b7R�?�c
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/改名为其它的名字,如:改为FileSystemObject_ChangeName �}�V6V�l:v1q0m
�Y�@7_8^�k�G/s�G�_
自己以后调用的时候使用这个就可以正常调用此组件了
4n�n2A$r�e
?�A,@
9N'G�G�g i�x |�{�f�D�F
也要将clsid值也改一下
�b�]:D�V�P�w/Q!b�^
�r�n:^�D2C/X:b
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/项目的值 +P
p-G5o8T+K
�y�g�e�S'U&s&z&@
也可以将其删除,来防止此类木马的危害。
�W5| ~$o�u�e
5E�n�n+h ~�u�M
注销此组件命令:RegSvr32 /u C:/WINNT/SYSTEM32/scrrun.dll
�C�I�R�O�r�W�Y
z�k�r#}
.A�]�[)J�A�n$v.y%e
禁止Guest用户使用scrrun.dll来防止调用此组件。
�x8x(g6[:c�g�d
�@.W�@�\�h�y�U8_6n%~
使用命令:cacls C:/WINNT/system32/scrrun.dll /e /d guests
1}7c&k�t.z1j
n+I#l�Y+I!n:G
二、使用WScript.Shell组件
�Y�\1O8~8`�P A�J
;q)@�c�L�@�u�u
?�S
WScript.Shell可以调用系统内核运行DOS基本命令 -v8G�D4V1M�W�I)T
*\�Z�z7Y0Z�V�]�u4F
可以通过修改注册表,将此组件改名,来防止此类木马的危害。 �J�G0C�c"B�c-l#g
�F�b�~�`�x8m(o%h�V
HKEY_CLASSES_ROOT/WScript.Shell/及HKEY_CLASSES_ROOT/WScript.Shell.1/改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName �| S#v2h�[-r!v�}
/[�m�O8D(v�E
自己以后调用的时候使用这个就可以正常调用此组件了
�c�N�w�M.{ {:v/c
�f-N�S�j"~�`5R�G j�e
也要将clsid值也改一下
�^&` R
o�b5b�t�T.a
�@�F�a;](T%C
b�z'k!f6@�z�}
HKEY_CLASSES_ROOT/WScript.Shell/CLSID/项目的值
,s�m!R7U3n"O�l
HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/项目的值 �|�Y�s)J#@�X:z-^�y"Y
�t%G%p�t.I�m�X
也可以将其删除,来防止此类木马的危害。
�P+v�c�K�u�X�?�d�g
,T�I1P"O:J"`
三、使用Shell.Application组件
�g�H
T�`�g�x�C�e
%p�\.k�t�E5r
Shell.Application可以调用系统内核运行DOS基本命令
"|5d�_9a�l�Z�P!y;G#@�w#z
�A5V'G�l:e�l�m t2?�k
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
4^(U%B�X,L�~0f+k
b S�a
L:y�t�r
HKEY_CLASSES_ROOT/Shell.Application/ 2l�R�}:O4A
及HKEY_CLASSES_ROOT/Shell.Application.1/
^�}�?�C"C0d
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName �M o$r�O:Z'x)L�Q4V
8@'T L(Q�b�E�v
自己以后调用的时候使用这个就可以正常调用此组件了
/o�Y�c�n�]6W
] j�l�v:Q
也要将clsid值也改一下
�n [8~0M(r�]/S
�B
Q�x�s
l%g,q8X!F
HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值 &p+d�Q�s/e�d4I�D�[
HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值
�h"W
k�o�y�I)V S5d
�r�r�B�}�i2u�j,w
也可以将其删除,来防止此类木马的危害。 �h�\
w'g�|�D3}�H
8c�~$U)L#\�p�P�v
禁止Guest用户使用shell32.dll来防止调用此组件。 $J�z�x'z/~
q
�J4O6?-r�S�]�e$d
使用命令:cacls C:/WINNT/system32/shell32.dll /e /d guests
�f�_ p&S0V�\�J
`
注:操作均需要重新启动WEB服务后才会生效。
�a�x5q�q)D"U�\+i9u!h�x
�t�\5S5M }�^3l
四、调用Cmd.exe
$|&y6s#O�I0d�i.@�]
�t"H/@�~"o�D;B�M/A
禁用Guests组用户调用cmd.exe
6{�F�`�V�F�T&t�r
cacls C:/WINNT/system32/Cmd.exe /e /d guests
�]9E;m�w�m�})N�e�a
5X7u#f�C7N�C.?�W
通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵�t ^2I
S�T,x#v
提示:更多的计算机技术资料请登陆我中心技术论坛学习:[url]http://www.sz-benet.net[/url]
3}7h1t7w�\�y&x�U;q�B
[url=http://www.sz-benet.net]您事业的腾飞需要一个踏足点,而我们可以为您提供这样一个起点 ,我们有优质的教学师资与教学设备,相信自己,相信我们,您的未来我们一起努力—北大青鸟深圳中青中心![/url] �]3c�B!M:t�l�u*o0J�?
[url=http://www.sz-benet.net/news/newsShow.asp?id=1147]参加IT培训,要快、准、狠![/url]
�X)^�V�I,y,^5A�w8Y
[url=http://www.sz-benet.net/news/newsShow.asp?id=1249]今年144万应届毕业生未如期就业[/url]
�^/g
^
q0O�l$`5f U�J
[url=http://www.sz-benet.net/news/newsShow.asp?id=1248]教育副部长接见北大青鸟学员[/url]