注意:本文所講述之設定方法與環境:適用於microsoft windows 2000 server/win2003 server iis5.0/iis6.0
1、首先我們來看看一般asp木馬、webshell所利用的asp元件有那些?我們以海洋木馬為列:
〈object runat="server" id="ws" scope="page" classid="clsid:72c24dd5-d70a-438b-8a42-98424b88afb8"〉
〈/object〉
〈object runat="server" id="ws" scope="page" classid="clsid:f935dc22-1cf0-11d0-adb9-00c04fd58a0b"〉
〈/object〉
〈object runat="server" id="net" scope="page" classid="clsid:093ff999-1ea0-4079-9525-9614c3504b74"〉
〈/object〉
〈object runat="server" id="net" scope="page" classid="clsid:f935dc26-1cf0-11d0-adb9-00c04fd58a0b"〉
〈/object〉
〈object runat="server" id="fso" scope="page" classid="clsid:0d43fe01-f093-11cf-8940-00a0c9054228"〉
〈/object〉
shellstr="shell"
if cmdpath="wscriptshell"
set streamt=server.createobject("adodb.stream")
set domainobject = getobject("winnt://.")
以上是海洋中的相關**,從上面的**我們不難看出一般asp木馬、webshell主要利用了以下幾類asp元件:
① wscript.shell (classid:72c24dd5-d70a-438b-8a42-98424b88afb8)
② wscript.shell.1 (classid:f935dc22-1cf0-11d0-adb9-00c04fd58a0b)
③ wscript.network (classid:093ff999-1ea0-4079-9525-9614c3504b74)
④ wscript.network.1 (classid:093ff999-1ea0-4079-9525-9614c3504b74)
⑤ filesystem object (classid:0d43fe01-f093-11cf-8940-00a0c9054228)
⑥ adodb.stream (classid:)
呵呵,這下我們清楚了危害我們web server iis的最罪魁禍首是誰了!!開始操刀,come on...
2:解決辦法:
① 刪除或更名以下危險的asp元件:
開始-------〉執行---------〉regedit,開啟登錄檔編輯器,按ctrl+f查詢,依次輸入以上wscript.shell等元件名稱以及相應的classid,然後進行刪除或者更改名稱(這裡建議大家更名,如果有部分網頁asp程式利用了上面的元件的話呢,只需在將寫asp**的時候用我們更改後的元件名稱即可正常使用。當然如果你確信你的asp程式中沒有用到以上元件,還是直
接刪除心中踏實一些^_^,按常規一般來說是不會做到以上這些元件的。刪除或更名後,iisreset重啟iis後即可公升效。)
[注意:由於adodb.stream這個元件有很多網頁中將用到,所以如果你的伺服器是開虛擬主機的話,建議酢情處理。]
② 關於 file system object (classid:0d43fe01-f093-11cf-8940-00a0c9054228)即常說的fso的安全問題,如果您的伺服器必需要用到fso的話,(部分虛擬主機伺服器一般需開fso功能)可以參照本人的另一篇關於fso安全解決辦法的文章:microsoft windows 2000 server fso 安全隱患解決辦法。如果您確信不要用到的話,可以直接反註冊此元件即可。
③ 直接反註冊、解除安裝這些危險元件的方法:(實用於不想用①及②類此類煩瑣的方法)
解除安裝wscript.shell物件,在cmd下或直接執行:regsvr32 /u %windir%\system32\wshom.ocx
解除安裝fso物件,在cmd下或直接執行:regsvr32.exe /u %windir%\system32\scrrun.dll
解除安裝stream物件,在cmd下或直接執行: regsvr32 /s /u "c:\program files\common files\system\ado\msado15.dll"
如果想恢復的話只需要去掉 /u 即可重新再註冊以上相關asp元件例如:regsvr32.exe %windir%\system32\scrrun.dll
3 按照上1、2方法對asp類危險元件進行處理後,用阿江的asp探針測試了一下,"伺服器cpu詳情"和"伺服器作業系統"根本查不到,內容為空白的。再用海洋測試wsript.shell來執行cmd命令也是提示active無法建立對像。大家就都可以再也不要為asp木馬危害到伺服器系統的安全而擔擾了。
web shell和一句木馬編寫 安全防範措施
webshell就是以asp php jsp或者cgi等網頁檔案形式存在的一種命令執行環境,也可以將其稱做為一種網頁後門。黑客在入侵了乙個 後,通常會將asp或php後門檔案與 伺服器 web目錄下正常的網頁檔案混在一起,然後就可以使用瀏覽器來訪問asp或者php後門,得到乙個命令執行環境,以達到控...
webshell一句話木馬
asp一句話木馬 eval request sb execute request sb execute request sb execute request sb loop loop execute request sb eval request chr 35 executeglobal reque...
ASP木馬的防範 zz
asp木馬 webshell之安全防範解決辦法 1 首先我們來看看一般asp木馬 webshell所利用的asp元件有那些?我們以海洋森馬為列 objectrunat server id ws scope page classid clsid 72c24dd5 d70a 438b 8a42 9842...