如何防范基于IIS的ASP网页木马

    技术2022-05-14  5

    大部分ASP木马都是基于FileSystemObject和shell.application两个组件来完成所有控制操作的,它们均具有远程删除、新建、修改文件或文件夹的功能,具有比较大的破坏力。作为网络管理员来说一定要将网页木马的遗留场所进行封存,本文将逐步说明如何禁掉上面提到的两个组件,并将这些组件设置为只容许管理者一人使用。    当某些程序需要使用这两个组件时该怎么办呢?其实我们可以通过注册表修改组件的Progid值来实现。            第一步:执行开始->运行 输入regedit 后回车进入注册表编辑器           第二步:在打开的注册表编辑器中找到“HKEY_CLASSES_ROOT/Scrigting. FileSystemObject”  项。            第三步:将其中的“Scripting.FileSystemObject”改为   “Scripting.FileSystemObjectkillfso”即可。            小提示:其实细心的读者就会发现修改前后的差别了,只是后面多出了   “killfso”   几个字母,当然这几个字母管理员可以随便改,但需要记住这个名字。            第四步:这样我们在调用该组件的时候就需要写成:Set对象名 =Server.CreateObject(“Progid”)   。其中的   Progid=Scripting.FileSystemObjectkillfso, 也就是写成我们改过后的字符串。            第五步:我们再按照上面的方法找到“HKEY_CLASSES_ROOT/Shell.Application”,    将   “Shell.Application”   改为您自己想要的字符串即可。调用时同样按照第四步的命令[ming ling]调用。      方法[fang fa]三:修改CLSID值           这个道理同上面讲的一样,就是通过注册表来修改CLSID值实现。我们只要找到“HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID” 和“HKEY_CLASSES_ROOT/Shell.Application/CLSID”这2个组件[zu jian]的CLSID 值 , 并将它们修改为您喜欢的 , 然后在调用时注明即可。            小提示:需要注意的是,调用CLSID值要写成:object  runat=server  id=fsl  scope=page  classid=“clsid:CLSID   值  其中默认情况下CLSID值为   “0D43FE01-F093-11CF-8940-00A0C9054228”   。            另外,我们还要注意   Adodb.stream   组件。这个组件主要是用来上传/ 下载文件的,虽然没有上面两个组件那么强大,但与其他组件一起使用时,还是有一定的危险的,ASP木马经常使用这些高权限的组件进行攻击,所以需要我们对这些组件有所防范。   


    最新回复(0)