[会员中心]  [发布文章][发布软件]  [中文繁體]

文章·资料  电脑软件  手机软件  网站源码 电脑·手机·网络学习话题娱乐故事 文化·历史国学典籍法律法规 操作系统网络办公·文件音频视频图形图像 硬件·驱动程序行业教学学习编程游戏 安卓苹果鸿蒙 其他 ASPASP.NETJSPPHP HTML·CSS·JavaScript

本 站 搜 索 文章 软件 [选项] 文章类别： [全部]电脑·手机·网络话题故事文化·历史娱乐学习法律·法规国学典籍 搜索选项： 文章编号 文章标题 文章作者 文章来源 相关链接 关键字词 文章标签 文章内容 软件类别： [全部]操作系统网络办公·文件音频视频图形图像行业编程教学学习游戏硬件·驱动程序安卓系统苹果系统鸿蒙系统其他系统HTML·CSS·JavaScriptASPJSPPHPASP.NET 搜索选项： 软件编号 软件名称 软件作者 软件来源 相关链接 关键字词 软件标签 软件简介

发 送 文 章 ASP木马Webshell安全解决方案 〖评论()〗〖留言〗〖收藏〗  收信地址 填写收信人的电子邮箱 邮件主题 填写邮件主题 邮件内容 注意：本文所讲述之设置方法与环境：适用于MicrosoftWindows2000Server/Win2003SERVER　IIS5.0/IIS6.0 1、首先我们来看看一般ASP木马、Webshell所利用的ASP组件有那些？我们以海洋木马为列： ＜objectrunat=serverid=wsscope=pageclassid=clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8＞ ＜/object＞ ＜objectrunat=serverid=wsscope=pageclassid=clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B＞ ＜/object＞ ＜objectrunat=serverid=netscope=pageclassid=clsid:093FF999-1EA0-4079-9525-9614C3504B74＞ ＜/object＞ ＜objectrunat=serverid=netscope=pageclassid=clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B＞ ＜/object＞ ＜objectrunat=serverid=fsoscope=pageclassid=clsid:0D43FE01-F093-11CF-8940-00A0C9054228＞ ＜/object＞ hellStr=Shell applicationStr=Application ifcmdPath=wscriptShell setsa=server.createObject(shellStr.applicationStr) etstreamT=server.createObject(adodb.stream) etdomainObject=GetObject(WinNT://.) 以上是海洋中的相关代码，从上面的代码我们不难看出一般ASP木马、Webshell主要利用了以下几类ASP组件： ①WScript.Shell(classid:72C24DD5-D70A-438B-8A42-98424B88AFB8) ②WScript.Shell.1(classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B) ③WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74) ④WScript.Network.1(classid:093FF999-1EA0-4079-9525-9614C3504B74) ⑤FileSystemObject(classid:0D43FE01-F093-11CF-8940-00A0C9054228) ⑥Adodb.stream(classid:{00000566-0000-0010-8000-00AA006D2EA4}) ⑦Shell.applicaiton.... hehe，这下我们清楚了危害我们WEBSERVERIIS的最罪魁祸首是谁了!!开始操刀,comeon... 2、解决办法： ①删除或更名以下危险的ASP组件： WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application 开始-------＞运行---------＞Regedit，打开注册表编辑器，按Ctrl+F查找，依次输入以上Wscript.Shell等组件名称以及相应的ClassID，然后进行删除或者更改名称(这里建议大家更名，如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直 接删除心中踏实一些^_^,按常规一般来说是不会做到以上这些组件的。删除或更名后，iisreset重启IIS后即可升效。) [注意：由于Adodb.Stream这个组件有很多网页中将用到，所以如果你的服务器是开虚拟主机的话，建议酢情处理。] ②关于FileSystemObject(classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常说的FSO的安全问题，如果您的服务器必需要用到FSO的话，(部分虚拟主机服务器一般需开FSO功能)可以参照本人的另一篇关于FSO安全解决办法的文章:MicrosoftWindows2000ServerFSO安全隐患解决办法。如果您确信不要用到的话，可以直接反注册此组件即可。 ③直接反注册、卸载这些危险组件的方法：(实用于不想用①及②类此类烦琐的方法) 卸载wscript.shell对象，在cmd下或直接运行：regsvr32/u%windir%\system32\WSHom.Ocx 卸载FSO对象,在cmd下或直接运行：regsvr32.exe/u%windir%\system32\scrrun.dll 卸载stream对象,在cmd下或直接运行：regsvr32/s/uC:\ProgramFiles\CommonFiles\System\ado\msado15.dll 如果想恢复的话只需要去掉/U即可重新再注册以上相关ASP组件例如：regsvr32.exe%windir%\system32\scrrun.dll ④关于Webshell中利用setdomainObject=GetObject(WinNT://.)来获取服务器的进程、服务以及用户等信息的防范，大家可以将服务中的Workstation[提供网络链结和通讯]即Lanmanworkstation服务停止并禁用即可。此处理后，Webshell显示进程处将为空白。 3、按照上1、2方法对ASP类危险组件进行处理后，用阿江的asp探针测试了一下,服务器CPU详情和服务器操作系统根本查不到,内容为空白的。再用海洋测试Wsript.Shell来运行cmd命令也是提示Active无法创建对像。大家就都可以再也不要为ASP木马危害到服务器系统的安全而担扰了。 当然服务器安全远远不至这些，这里为大家介绍的仅仅是本人在处理ASP木马、Webshell上的一些心得体会。在下一篇中将为大家介绍如何简简单单的防止别人在服务器上执行如netuser之类的命令，防溢出类攻击得到cmdshell，以及执行添加用户、改NTFS设置权限到终端登录等等的最简单有效的防范方法。<br /><br />文章网址：<a href="https://dangbai.cn/Article.asp?ID=10000991" target="_blank">https://dangbai.cn/Article.asp?ID=10000991</a> 填写邮件内容 发信地址 填写发信人的电子邮箱 邮件签名 填写邮件签名  验证码   填写验证码，单击刷新验证码    程序执行中，请稍候... 发送协议 ·欢迎使用本站在线文章发送系统。 ·不得使用本站在线发送邮件系统发送垃圾邮件、广告邮件。 ·如果收信人地址或其服务器出现错误，可能无法成功发送。 ·如果有什么问题，或者意见建议，请联系［网站管理员］。

当百网   本站使用【啊估文章软件站】网站系统    〖网站管理员留言簿〗