当前页面位置: » 丰搜网 » 文档中心 » 详细内容
asp木马webshell安全解决办案
注意:本文所讲述之设置方法与环境:适用于microsoft windows 2000 server/win2003 server iis5.0/iis6.0
1、首先我们来看看一般asp木马、webshell所利用的asp组件有那些?我们以海洋木马为列:
<object runat="server" id="ws" scope="page" classid="clsid:72c24dd5-d70a-438b-8a42-98424b88afb8">
</object>
<object runat="server" id="ws" scope="page" classid="clsid:f935dc22-1cf0-11d0-adb9-00c04fd58a0b">
</object>
<object runat="server" id=.net" scope="page" classid="clsid:093ff999-1ea0-4079-9525-9614c3504b74">
</object>
<object runat="server" id=.net" scope="page" classid="clsid:f935dc26-1cf0-11d0-adb9-00c04fd58a0b">
</object>
<object runat="server" id="fso" scope="page" classid="clsid:0d43fe01-f093-11cf-8940-00a0c9054228">
</object>
shellstr="shell"
applicationstr="application"
if cmdpath="wscriptshell"
set sa=server.createobject(shellstr&"."&applicationstr)
set streamt=server.createobject("adodb.stream")
set domainobject = getobject("winnt://.")
以上是海洋中的相关代码,从上面的代码我们不难看出一般asp木马、webshell主要利用了以下几类asp组件:
① wscript.shell (classid:72c24dd5-d70a-438b-8a42-98424b88afb8)
② wscript.shell.1 (classid:f935dc22-1cf0-11d0-adb9-00c04fd58a0b)
③ wscript.network (classid:093ff999-1ea0-4079-9525-9614c3504b74)
④ wscript.network.1 (classid:093ff999-1ea0-4079-9525-9614c3504b74)
⑤ filesystem object (classid:0d43fe01-f093-11cf-8940-00a0c9054228)
⑥ adodb.stream (classid:{00000566-0000-0010-8000-00aa006d2ea4})
⑦ shell.applicaiton....
2:解决办法:
① 删除或更名以下危险的asp组件:
wscript.shell、wscript.shell.1、wscript.network、wscript.network.1、adodb.stream、shell.application
开始------->运行--------->regedit,打开注册表编辑器,按ctrl+f查找,依次输入以上wscript.shell等组件名称以及相应的classid,然后进行删除或者更改名称(这里建议大家更名,如果有部分网页asp程序利用了上面的组件的话呢,只需在将写asp代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的asp程序中没有用到以上组件,还是直
接删除心中踏实一些^_^,按常规一般来说是不会做到以上这些组件的。删除或更名后,iisreset重启iis后即可升效。)
[注意:由于adodb.stream这个组件有很多网页中将用到,所以如果你的服务器是开虚拟主机的话,建议酢情处理。]
② 关于 file system object (classid:0d43fe01-f093-11cf-8940-00a0c9054228)即常说的fso的安全问题,如果您的服务器必需要用到fso的话,(部分虚拟主机服务器一般需开fso功能)可以参照本人的另一篇关于fso安全解决办法的文章:microsoft windows 2000 server fso 安全隐患解决办法。如果您确信不要用到的话,可以直接反注册此组件即可。
③ 直接反注册、卸载这些危险组件的方法:(实用于不想用①及②类此类烦琐的方法)
卸载wscript.shell对象,在cmd下或直接运行:regsvr32 /u %windir%\system32\wshom.ocx
卸载fso对象,在cmd下或直接运行:regsvr32.exe /u %windir%\system32\scrrun.dll
卸载stream对象,在cmd下或直接运行: regsvr32 /s /u "c:\program files\common files\system\ado\msado15.dll"
如果想恢复的话只需要去掉 /u 即可重新再注册以上相关asp组件例如:regsvr32.exe %windir%\system32\scrrun.dll
④ 关于webshell中利用set domainobject = getobject("winnt://.")来获取服务器的进程、服务以及用户等信息的防范,大家可以将服务中的workstation[提供网络链结和通讯]即lanmanworkstation服务停止并禁用即可。此处理后,webshell显示进程处将为空白。
3 按照上1、2方法对asp类危险组件进行处理后,用阿江的asp探针测试了一下,"服务器cpu详情"和"服务器操作系统"根本查不到,内容为空白的。再用海洋测试wsript.shell来运行cmd命令也是提示active无法创建对像。大家就都可以再也不要为asp木马危害到服务器系统的安全而担扰了。
当然服务器安全远远不至这些,这里为大家介绍的仅仅是本人在处理asp木马、webshell上的一些心得体会。在下一篇中将为大家介绍如何简简单单的防止别人在服务器上执行.net user之类的命令,防溢出类攻击得到cmdshell,以及执行添加用户、改ntfs设置权限到终端登录等等的最简单有效的防范方法。
