随风摇曳
中级用户
积分 352
发帖 298
注册 2006-9-6
来自 汕头
|
#1 ASP木马相关概念讲解
一、什么是asp木马?
它其实就是用asp编写的网站程序,甚至有些asp木马就是由asp网站管理程序修改而来的。它和其他asp程序没有本质区别,只要是能运行asp的空间就能运行它,这种性质使得asp木马非常不易被发觉。它和其他asp程序的区别只在于asp木马是入侵者上传到目标空间,并帮助入侵者控制目标空间的asp程序。要想禁止asp木马运行就等于禁止asp的运行,显然这是行不通的,这也是为什么asp木马猖獗的原因!
二、入侵原理
要想入侵,就要将asp木马上传到目标空间,这点很重要!黑客,黑客技术,黑客软件,黑客软件技术,黑客教程,网络黑客那么入侵者如何上传asp木马呢?说来有些讽刺,入侵者多是利用目标空间中已有的具有上传功能的asp程序来实现的。黑客,黑客技术,黑客软件,黑客软件技术,黑客教程,网络黑客正常情况下,这些可以上传文件的asp程序都是有权限限制的,大多也限制了asp文件的上传.
(比如:可以上传图片的新闻发布、图片管理程序,及可以上传更多类型文件的论坛程序等)但由于存在人为的asp设置错误及asp程序本身的漏洞,给了入侵者可乘之机,实现上传asp木马。只要asp木马上传到目标空间,入侵者就可以运行它,完成对目标空间的控制。据我公司统计: 2/3的入侵是利用了asp上传程序本身的漏洞完成的。因此,防范asp木马的重点就在于虚拟主机用户如何确保自己空间中asp上传程序的安全上!说白了就是不让入侵者有上传文件的机会!
在这里额外说一下空间商由于无法预见虚拟主机用户会在自己站点中上传什么样的程序,以及每个程序是否存在漏洞,因此无法防止入侵者利用站点中客户程序本身漏洞上传asp木马的行为。空间商只能防止入侵者利用已被入侵的站点再次入侵同一服务器上其他站点的行为这也更加说明要防范asp木马,虚拟主机用户就要对自己的程序严格把关!
三、主要使用的技术
FSO(FileSystemObject)是微软ASP的一个对文件操作的控件,该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。是ASP编程中非常有用的一个控件。IIS3,IIS4的ASP文件操作都可以通过FileSystemObjectt实现,包括文本文件的读写,目录操作,文件的拷贝,改名,删除等,正是这个强大的功能给服务器留下了非常危险的后门。利用FileSystemObject可以篡改下载FAT分区上的任何文件,即使是NTFS分区,如果权限没有设定好,同样也能被破坏。
但是因为权限控制的问题,很多虚拟主机服务器的FSO反而成为这台服务器的一个公开的后门,因为客户可以在自己的ASP网页里面直接就对该控件编程,从而控制该服务器甚至删除服务器上的文件。因此不少业界的虚拟主机提供商都干脆关掉了这个控件,让客户少了很多灵活性。
目前比较流行的ASP木马主要通过四种技术来进行对服务器的相关操作,下面是相关的防范方法:
一、使用FileSystemObject组件
FileSystemObject可以对文件进行常规操作
可以通过修改注册表,将此组件改名,来防止此类木马的危害
HKEY_CLASSES_ROOTScripting.FileSystemObject
改名为其它的名字,如:改为FileSystemObject_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值
也可以将其删除,来防止此类木马的危害。
注销此组件命令:RegSrv32 /u C:WINNTSYSTEMscrrun.dll
禁止Guest用户使用scrrun.dll来防止调用此组件
使用命令:cacls C:WINNTsystem32scrrun.dll /e /d guests
二、使用WScript.Shell组件
WScript.Shell可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害
HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeNa
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值
HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值
也可以将其删除,来防止此类木马的危害
三、使用Shell.Application组件
Shell.Application可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害
HKEY_CLASSES_ROOTShell.Application bbs.juntuan
及HKEY_CLASSES_ROOTShell.Application.1
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值
也可以将其删除,来防止此类木马的危害
禁止Guest用户使用shell32.dll来防止调用此组件
使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests
注:操作均需要重新启动WEB服务后才会生效。
四、调用Cmd.exe
禁用Guests组用户调用cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d guests
通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵!
| |
※ ※ ※ 本文纯属【随风摇曳】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
专营传感器,场效应,达林顿,可控硅,二三极管,IC芯片,光电器件等 |
|
|
