修改三个组件来达到防asp木马攻击.filesystemobject组件---对文件进行常规操作.wscript.shell组件---可以调用系统内核运行dos命令.shell.application组件--可以调用系统内核运行dos命令.
一.使用filesystemobject组件
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
hkey_classes_root\scripting.filesystemobject\改名为其它的名字,如:改为filesystemobject_good自己以后调用的时候使用这个就可以正常调用此组件了.
2.也要将clsid值也改一下hkey_classes_root\scripting.filesystemobject\clsid\项目的值可以将其删除,来防止此类木马的危害.
3.注销此组件命令:regsrv32 /u c:\winnt\system\scrrun.dll如果想恢复的话只需要去掉 /u 即可重新再注册以上相关asp组件
4.禁止guest用户使用scrrun.dll来防止调用此组件命令:
cacls c:\winnt\system32\scrrun.dll /e /d guests
二.使用wscript.shell组件
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
hkey_classes_root\wscript.shell\及hkey_classes_root\wscript.shell.1\改名为其它的名字,如:改为wscript.shell_changename或wscript.shell.1_changename
自己以后调用的时候使用这个就可以正常调用此组件了
2.也要将clsid值也改一下hkey_classes_root\wscript.shell\clsid\项目的值hkey_classes_root\wscript.shell.1\clsid\项目的值
也可以将其删除,来防止此类木马的危害。
三.使用shell.application组件
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
hkey_classes_root\shell.application\及hkey_classes_root\shell.application.1\改名为其它的名字,如:改为shell.application_changename或
shell.application.1_changename
自己以后调用的时候使用这个就可以正常调用此组件了
2.也要将clsid值也改一下hkey_classes_root\shell.application\clsid\项目的值hkey_classes_root\shell.application\clsid\项目的值
也可以将其删除,来防止此类木马的危害。
3.禁止guest用户使用shell32.dll来防止调用此组件命令:
cacls c:\winnt\system32\shell32.dll /e /d guests
四.调用cmd.exe
禁用guests组用户调用cmd.exe命令:
cacls c:\winnt\system32\cmd.exe /e /d guests
五.其它危险组件处理:
adodb.stream (classid:{00000566-0000-0010-8000-00aa006d2ea4})
wscript.network(classid:093ff999-1ea0-4079-9525-9614c3504b74)
wscript.network.1 (classid:093ff999-1ea0-4079-9525-9614c3504b74)
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页asp程序利用了上面
的组件的话呢,只需在将写asp代码的时候用我们更改后的组件名称即可正常使用。当然如果
你确信你的asp程序中没有用到以上组件,还是直接删除心中踏实一些.
快速删除方法:
开始--运行--regedit,打开注册表编辑器,按ctrl+f查找,依次输入以上
wscript.shell等组件名称以及相应的classid,然后进行删除或者更改名称.
大家可以亲自动手实践一下,是不是会达到预想的效果。
如对本文有疑问, 点击进行留言回复!!
asp中Request.ServerVariables的参数集合
我要评论
网友评论