虚拟主机安全配置之脚本木马防护
时间:2010-12-07 来源:秩名
利用上传漏洞,传了个PHP木马上去.为了证明此服务器的ASP木马防护能力,后来写了个测试FSO的FSO.asp用PHP木马传上去,打开页面提示说:无效的progid…由经验得知80%是改了progid值,于是我马上用PHP木马的写权限把fso.asp的set fso=server.createobject(“scripting.filesystemobject”)这一句删了,在asp体外加了一句<object runat=server id=fso scope=page classid=”clsid:0D43FE01-F093-11CF-8940-00A0C9054228″></object>.
写入成功后,再打开fso.asp,哈哈!该服务器的所有盘基本情况都很清楚了.
看来执行ASP木马也没有问题了.ASP安全是做了,但做的不彻底,而且单凭PHP马就足以给此服务器臻命的打击.服务器里D盘G盘近千个网站虽在I盘作 了备分,但一点用也没有!完全有可读写运行的权限,想怎么处理你也没脾气!而且还可以执行webshell.如果提升权限进入你的服务器格了盘.再作下垃 圾数据处理,想还原也还原不了喽.对于同胞我虽然不可能作出这种下流事,但林子大了什么鸟都有!再或者有异族的侵入.唉….攻击就这么简单,一个极普 通的小站加一个老没就能控制整个服务器!唉!
——————————————————————
防护方式
第一式:脚本监控
实施环境:windows操作系统
实施方法,安装对脚本监控较强的防毒软件!如:kaspersky(卡巴斯基).题外话:我的脚本常常被他kill…有时只能把他的监控监时关掉!
个人意见:实施起来比较容易,装一个好的防毒软件就可以了.263主机就用了此法!但未秘太管用,不是什么马都可以查杀的,而且当我把程序加一下密,防毒软件也认不出来.仅可作为初级防线!
第二式:
实施环境:windows操作系统,IIS模式下
实施方法:通过使FSO(filesystemobject)组件调用失效可使ASP木马跑不起来!
此式又可分为两招:
—————————————————————-
第一招:修改注册表中程序标识值(PorgID)
出招:单击”开始–>>运行”,在运行对话框中输入”regedit”,然后在注册表编辑器中找 到”HKEY_CLASSES_ROOTScripting.FileSystemObject”改为”HKEY_CLASSES_ROOT Scripting.FileSystemObjectcn90″
说明:此招只是把通常调用FSO的语句”set 对象名=server.createobject(“Scripting.filesystemobject”)”改为:set 对象名=server.createobject(“scripting.filesystemobjectcn90″)”,使得不知默认的ProgID 改为何值的人无法调用FSO组件,从而达到使ASP木马跑不起来的目的.最后再提醒一点,通常有人认为把 scripting.filesystemobject修改为scripting.filesystemobjectcn90是改(右边的)字符串值,那 是没用的.字符串的值,你就当是说明好了,改不改都无所谓.主要是要改左边的项值(文件夹重命名).
个人意见:此招看上去管用,但若有精通一些的人采用html的<object>标注通过FSO的类标识<clsid)在网页里调用组 件,改了半天的progID等于白改了!其实网上流传着改clsid值的方法来完善此招,但是我通过经验告诉大家!这是行不通的,CLSID默认的字符串 值为:{0D43FE01-F093-11CF-8940-00A0C9054228},有文章说改为{0D43FE01-F093-11CF- 8940-00A0C9054229} 或改为其它的尾数来实现CLSID调用时出错.我在多个操作系统上度行,此举无效.至于为什么,我对微软的CLSID设置还不到非常精通的地步,但据我所 知CLSID是微软分配的必需唯一的数值,当FSO的scrrun.dll组件被调用时,其实是先到注册表寻找指示,依赖CLSID可能会引起值冲突或 FSO干脆就无法调用了.
—————————————————————–
第二招:禁用FSO组件
出招:单击”开始—>>运行”,在运行对话框中输入”regsvr32 /u %systemroot%system32scrrun.dll”,点击确定就可以了!
说明:利用微软自带的regsvr32工具来注销FSO组件,实在是方便,如想再启用起来,只需在运行对话框中输入”regsvr32 %systemroot%system32scrrun.dll”即可.
个人意见:此招方便有效,一般系统管理员很少通过FSO进行管理.对于需要FSO组件不多的情况,建议直接注销此组件!
—————————————————————-
标签分类: 系统安全
相关阅读 更多 +
