做了1年时间的虚拟主机管理员,大概对NT下的WEB SHELL的防范也有一定的了解。现在通过整理一些高手的文章来说说如何防范WEBSHELL。常见的WEBSHELL也就是ASP,PHP,PERL,这些脚本写成的。市面上比较流行的WEBSHELL也就是海阳顶端网asp木马2005、桂林老兵的ASP南通服务器网.长南通服务器网,为中文网南通服务器网
(允许将来自父系的可继承性权限传播给对象)
南通服务器网
e.\winnt\system32:
Www^Spdns^com
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 Spdns.com
f.\winnt:
中.国.南通服务器网
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
南通服务器网
g.\winnt:
南通服务器网
everyone:读取及运行
Www@Spdns@com
列出文件目录
中国南通服务器网
读取
Www.Spdns.com
(允许将来自父系的可继承性权限传播给对象)
Www.Spdns.com
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
中国.南通服务器网
everyone:修改 Www.Spdns.com
(允许将来自父系的可继承性权限传播给对象) Spdns^com
再单独对cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe设置为只允许administrators组访问,这样就可以防范通过Serv-U的本地提升权限漏洞来运行这些关键的程序了,再删除cacls.exe这个程序,防止有人通过命令行来修改权限,呵呵。
Spdns^com
再来去掉一些ASP WEBSHELL需要使用的一些组件,这些组件其实普通的虚拟主机用户也是用不上的。 Spdns_com
很多防范ASP木马的文章都提到要删除FileSystemObject组件,但删除了这个组件后,很多ASP的程序可能会运行不了,其实只要做好了前面的工作,FileSystemObject组件能操作的,只能是自己目录下的文件,也就构成不了什么威胁了! 中.国南通服务器网
现在看来,还比较有威胁的组件就是Shell.Application和Wscript.Shell这两个组件了,Shell.Application可以对文件进行一些操作,还可以执行程序,但不能带参数,而Wscript.Shell可以操作注册表和执行DOS命令。 Spdns~com
防范Wscript.Shell组件的方法:
南通服务器网
可以通过修改注册表,将此组件改名。 Spdns.com
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了。
[南通服务器网]
也要将clsid值也改一下
[南通服务器网]
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值 Spdns~com
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
中国南通服务器网
也可以将其删除,来防止此类木马的危害。
Www^Spdns^com
防范Shell.Application组件的方法:
Www@Spdns@com
可以通过修改注册表,将此组件改名。 [南通服务器网]
HKEY_CLASSES_ROOT\Shell.Application及HKEY_CLASSES_ROOT\Shell.Application.1改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName。 中.国南通服务器网
自己以后调用的时候使用这个就可以正常调用此组件了。 Spdns
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 中国南通服务器网,为中文网南通服务器网
