`
happyjack
  • 浏览: 68228 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
社区版块
存档分类
最新评论

ASP木马Webshell安全解决办案

    博客分类:
  • asp
阅读更多
ASP木马、Webshell之安全防范解决办法正文内容:

  注意:本文所讲述之设置方法与环境:适用于Microsoft Windows 2000 Server/Win2003 SERVER   IIS5.0/IIS6.0   

  1、首先我们来看看一般ASP木马、Webshell所利用的ASP组件有那些?我们以海洋木马为列:

  <object runat=”server” id=”ws” scope=”page” classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″>

  </object>

  <object runat=”server” id=”ws” scope=”page” classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”>

  </object>

  <object runat=”server” id=”net” scope=”page” classid=”clsid:093FF999-1EA0-4079-9525-9614C3504B74″>

  </object>

  <object runat=”server” id=”net” scope=”page” classid=”clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B”>

  </object>

  <object runat=”server” id=”fso” scope=”page” classid=”clsid:0D43FE01-F093-11CF-8940-00A0C9054228″>

  </object>

  shellStr=”Shell”

  applicationStr=”Application”

  if cmdPath=”wscriptShell”

  set sa=server.createObject(shellStr&”.”&applicationStr)

  set streamT=server.createObject(”adodb.stream”)

  set domainObject = GetObject(”WinNT://.”)

以上是海洋中的相关代码,从上面的代码我们不难看出一般ASP木马、Webshell主要利用了以下几类ASP组件:

  ① WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)

  ② WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)

  ③ WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74)

  ④ WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)

  ⑤ FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)

  ⑥ Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})

  ⑦ Shell.applicaiton….

  hehe,这下我们清楚了危害我们WEB SERVER IIS的最罪魁祸首是谁了!!开始操刀,come on…
2:解决办法:

  ① 删除或更名以下危险的ASP组件:

  WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application

  开始——->运行———>Regedit,打开注册表编辑器,按Ctrl+F查找,依次输入以上Wscript.Shell等组件名称以及相应的ClassID,然后进行删除或者更改名称(这里建议大家更名,如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直

  接删除心中踏实一些^_^,按常规一般来说是不会做到以上这些组件的。删除或更名后,iisreset重启IIS后即可升效。)

  [注意:由于Adodb.Stream这个组件有很多网页中将用到,所以如果你的服务器是开虚拟主机的话,建议酢情处理。]

  ② 关于 File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常说的FSO的安全问题,如果您的服务器必需要用到FSO的话,(部分虚拟主机服务器一般需开FSO功能)可以参照本人的另一篇关于FSO安全解决办法的文章:Microsoft Windows 2000 Server FSO 安全隐患解决办法。如果您确信不要用到的话,可以直接反注册此组件即可。

  ③ 直接反注册、卸载这些危险组件的方法:(实用于不想用①及②类此类烦琐的方法)

  卸载wscript.shell对象,在cmd下或直接运行:regsvr32 /u %windir%\system32\WSHom.Ocx

  卸载FSO对象,在cmd下或直接运行:regsvr32.exe /u %windir%\system32\scrrun.dll

  卸载stream对象,在cmd下或直接运行: regsvr32 /s /u “C:\Program Files\Common Files\System\ado\msado15.dll”

  如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件例如:regsvr32.exe %windir%\system32\scrrun.dll

  ④ 关于Webshell中利用set domainObject = GetObject(”WinNT://.”)来获取服务器的进程、服务以及用户等信息的防范,大家可以将服务中的Workstation[提供网络链结和通讯]即Lanmanworkstation服务停止并禁用即可。此处理后,Webshell显示进程处将为空白。

  3 按照上1、2方法对ASP类危险组件进行处理后,用阿江的asp探针测试了一下,”服务器CPU详情”和”服务器操作系统”根本查不到,内容为空白的。再用海洋测试Wsript.Shell来运行cmd命令也是提示Active无法创建对像。大家就都可以再也不要为ASP木马危害到服务器系统的安全而担扰了。

  当然服务器安全远远不至这些,这里为大家介绍的仅仅是本人在处理ASP木马、Webshell上的一些心得体会。在下一篇中将为大家介绍如何简简单单的防止别人在服务器上执行如net user之类的命令,防溢出类攻击得到cmdshell,以及执行添加用户、改NTFS设置权限到终端登录等等的最简单有效的防范方法。

分享到:
评论

相关推荐

    ASP木马Webshell安全解决方案

    ASP 木马 Webshell 安全解决方案 根据提供的文件信息,以下是相关的知识点: 1. ASP 木马 Webshell 的组件:在 ASP 木马 Webshell 中,主要利用了以下几类 ASP 组件: * WScript.Shell (classid:72C24DD5-D70A-...

    asp.net webshell

    asp.net webshell ASP.NET WEBSHELL

    Decryption-WEBSHELL.rar_asp webshell_webshell_webshell asp

    ASP Webshell是一种在网络安全领域中常见的黑客工具,用于远程控制被入侵的服务器。"Decryption-WEBSHELL.rar_asp webshell_webshell_webshell asp"这个标题表明这是一个关于ASP Webshell的解密版本,主要关注的是...

    Char's ASP.NET Webshell V1.1

    【ASP.NET Webshell...综上所述,了解并防范ASP.NET Webshell,尤其是Char's ASP.NET Webshell V1.1这样的特定实例,对于保障Web服务器的安全具有重要意义。正确使用和管理这类工具,可以帮助提升网络安全防护能力。

    暗组经典asp webshell(去后门)

    暗组经典asp webshell(去后门),已经成功去后门,暗组的webshell功能强大。 本人亲测,不信的可用数据抓包查看。

    ASP实例开发源码-淘特 ASP webshell 木马扫描器.zip

    ASP实例开发源码—淘特 ASP webshell 木马扫描器.zipASP实例开发源码—淘特 ASP webshell 木马扫描器.zipASP实例开发源码—淘特 ASP webshell 木马扫描器.zip

    基于ASP的淘特 ASP webshell 木马扫描器.zip

    基于ASP的淘特 ASP webshell 木马扫描器.zip

    ASP源码—淘特 ASP webshell 木马扫描器.zip

    ASP源码—淘特 ASP webshell 木马扫描器.zip

    webshell,包含asp,php,aspx,jsp

    防御ASP Webshell的方法包括定期更新IIS服务器,应用最新的安全补丁,以及使用Web应用防火墙进行深度检测。 2. PHP(Hypertext Preprocessor)Webshell:PHP是一种广泛使用的开源脚本语言,尤其适用于Web开发。常见...

    ASP webshell

    ASP webshell 提权 读文件 cmd 等等

    制作WEBSHELL高级后门附带工具

    【制作WEBSHELL高级后门附带工具】这个主题涉及到的是网络安全领域中的恶意代码制作,特别是针对ASP(Active Server Pages)环境的Webshell后门。Webshell是一种黑客植入目标服务器的脚本,用于远程控制和窃取数据。...

    Linux下查杀webshell木马的工具.zip

    在Linux环境中,安全是至关重要的,尤其是对于服务器管理员而言,防止和检测Webshell木马尤为重要。Webshell,也称为Web后门,是攻击者在网站上留下的恶意脚本,通常用于远程控制服务器,窃取数据,或者进行其他非法...

    ASP实例开发源码——淘特 ASP webshell 木马扫描器.zip

    ASP实例开发源码——淘特 ASP webshell 木马扫描器.zip

    网站木马Webshell扫描器webshellscanner

    Webshell扫描扫描,可以自动扫描服务器上所有的webshell,感觉还可以,

    Webshell安全分析实践谈

    Webshell安全是网络安全领域中的一个重要议题,通常指的是攻击者通过网站后门控制服务器的权限。这篇文档提供了Webshell安全分析的实践方法,包括安全处理的线索挖掘、处置和溯源过程。以下是根据给定文件内容提炼出...

    淘特 ASP webshell 木马扫描器 v1.1 -ASP源码.zip

    ASP源码,压缩包解压密码:www.cqlsoft.com

    Webshell扫描清理工具

    个人还是比较喜欢用这个:KOA ASP类 WebShell(木马)扫描工具2.0 2009年11月4日发布 更新和增加了如下内容: 1.优化了代码。 2.修正了“查找IIS解析漏洞的文件”时,当文件夹有大写字母没识别的错误。 3.修正了...

    asp webshell

    asp webshell

    webshell asp 源程序

    在本文中,我们将深入探讨ASP WebShell的工作原理、危害以及如何预防和检测此类安全威胁。 1. ASP WebShell工作原理: ASP(Active Server Pages)是一种微软开发的服务器端脚本环境,用于生成动态网页。WebShell则...

    WebShell管理.rar

    网络安全webshell管理工具 网络安全webshell管理工具 网络安全webshell管理工具 网络安全webshell管理工具 网络安全webshell管理工具 网络安全webshell管理工具 网络安全webshell管理工具 网络安全webshell管理工具 ...

Global site tag (gtag.js) - Google Analytics