ASP 트로이 Webshell 보안 솔루션

참고: 설정 방법 및이 문서에서 설명 하는 환경: 마이크로소프트 윈도 서버/win2003 서버에 대 한 | iis5.0/iis6.0 1, 우선, 우리는 봐 일반 ASP 트로이, Webshell ASP 구성 요소를 사용 하 여 그? 우리는 바다 트로이에 나열 됩니다: < 개체 runat = "서버" id = "ws" 범위 "페이지" classid = = "Clsid:72c24dd5-d70a-438b-8a42-98424b88afb8" > < / 개체 >< 개체 runat = "Server" id = "ws" 범위 "페이지" classid = = "clsid:f935dc22-1cf0-11 d 0-adb9-00c04fd58a0b" >< / 개체 >< 개체 runat = "Server" id = "NET" 범위 = "페이지 classid =" clsid:0 93ff999-1ea0-4079-9525-9614c3504b74 ">< / 개체 >< 개체 runat =" server "id =" NET "범위 =" 페이지 "classid =" clsid:f935dc26-1cf0-11 d 0-adb9-00c04fd58a0b ">< / 개체 >< 개체 runat =" Server "id =" FSO "범위 =" 페이지 " Classid = "clsid:0d43fe01-f093-11cf-8940-00a0c9054228" >< / 개체 > shellstr = "쉘 applicationStr =" 응용 프로그램 "경우 Cmdpath =" Wscriptshell "설정된 Sa=server.createobject (shellstr &".) & APPLICATIONSTR) 설정 Streamt=server.createobject ("ADODB.stream") Set domainobject = GetObject ("winnt: / /.") 위의 관련 코드에 바다, 위의 코드에서 우리는 일반적인 ASP 트로이, Webshell 주로 ASP 구성 요소는 다음과 같은 유형의 사용 볼 수 있습니다.: ①wscript.shell (CLASSID:72C24DD5-D70A-438B-8A42-98424B88AFB8) ②wscript.shell.1 (ClassID: f935dc22-1cf0-11d0-adb9-00c04fd58a0b) ③wscript.network (classid:093ff999-1ea0-4079-9525-9614c3504b74) ④ Wscript.network.1 (classid:093ff999-1ea0-4079-9525-9614c3504b74) ⑤filesystem 개체 (classid:0 d43fe01-f093-11cf-8940-00a0c9054228) ⑥adodb.stream (classid: {00000566-0000-0010-8000-00aa006d2ea4}) ⑦ Shell.applicaiton... hehe, 우리 대부분의 위태롭게 하 고 우리의 웹 서버 IIS에 대 한 책임은 누가 알아! 펜싱을 시작, 어 서... 2: 해결 방법: ① 삭제 하거나 다음과 같은 유해 ASP 구성 요소를 이름을 바꿉니다: Wscript.Shell, WSCRIPT.SHELL.1, Wscript.Network, Wscript.network.1, ADODB.stream, Shell.Application 시작---> 실행---> regedit 레지스트리 편집기를 열고, Ctrl + f를 눌러 차례로 위의 Wscript.Shell 및 다른 구성 요소 이름과 해당 ClassID 입력 하 고 다음 삭제 하거나 이름을 변경 (여기 좋습니다는 바꾸면, 일부 웹 페이지 ASP 위의 구성 요소를 사용 하 여 프로그래밍 하는 경우, 그것은 ASP 코드에만 됩니다 후에 구성 요소 이름을 일반적으로 사용할 수 있습니다 우리의 변경 작성.) 물론, ASP 프로그램 위의 구성 요소를 사용 하거나 직접 ^_^의 일부를 삭제 하지 않는 경우에, 일반에 따르면 일반적으로 하지 않습니다 이러한 구성 요소. 삭제 하거나 이름을 바꿀 후 IISReset IIS를 다시 시작 합니다. [참고: ADODB.stream이 구성이 요소는 웹 페이지를 많이 하기 때문에 사용 될 서버 오픈 가상 호스트 하는 경우에, 것이 좋습니다 상황에. ] 파일 시스템 개체에 의해 이다 일반적으로 FSO의 보안에 대 한 ② (classid:0d43fe01-f093-11cf-8940-00a0c9054228), 만약 당신의서버는 FSO를 사용 해야 합니다, (가상 호스트 서버 부분의 일반적으로 열 필요가 FSO 함수)에 FSO 보안 솔루션 내 다른 문서를 참조할 수 있습니다: 마이크로소프트 윈도 즈 서버 FSO 보안 취약점 솔루션. 확실히 그것을 사용 하지 않으려는 경우에, 당신은 수 있습니다 단순히 리버스-등록 구성 요소. ③ 직접 카운터 등록, 제거 방법의 이러한 위험한 구성 요소: (①과 ②를 사용 하고자 하는 실용 클래스 같은 성가신 방법) cmd에서 Wscript.Shell 개체를 언로 드 하거나 직접 실행: regsvr32/u%windir%\system32\wshom.ocx CMD에서 FSO 개체를 제거 하거나 직접 실행: regsvr32.exe/u%windir%\system32\scrrun.dll 제거 Stream 개체를 직접 또는 cmd에서 실행: regsvr32/s/u "C:\Program 파일 Files\system\ado\msado15.dll "복구 하려는 경우 위의 재등록을 그냥 제거/u와 같은 ASP 구성 요소를 관련: Regsvr32.exe%windir%\system32\ Webshell Set domainobject를 사용 하 여에 대 한 Scrrun.dll④ = GetObject ("winnt: / /.") 예방 등 서버 프로세스, 서비스 및 사용자 정보를 얻으려면, 워크스테이션 네트워크 연결 및 통신에서 [서비스]를, LanmanWorkstation 서비스 중지 및 사용 안 함 수 있습니다. 이 처리 후 Webshell 과정 비게 됩니다 보여줍니다. 3에 따라 1, 2 방법의 ASP 클래스 위험한 부품 가공, Arjunolic ASP 프로브 테스트, 서버 CPU 정보는 ""와 "서버 운영 체제" 찾을 수 없는, 콘텐츠는 비어. 다음 바다 테스트 Wsript.shell을 사용 하 여 실행 cmd 명령을 또한 힌트 그 활성 이미지를 만들 수 없습니다. 모두가 수 이상 ASP 트로이 목마에 대 한 서버 시스템의 보안을 위태롭게 하 고 걱정. 물론, 서버 보안만 소개 하는 당신을 위해이, 여기 까지입니다 ASP 트로이 목마, 몇 가지 경험에 Webshell의 처리에서. 다음 기사에서 우리가 단순히 Cmdshell, 터미널 로그인 하려면 NTFS 설정을 변경 하는 사용자를 추가 하기 위한 간단 하 고 가장 효과적인 예방 조치를 수행 하 고 오버플로 공격을 방지 하는 서버에 인터넷 사용자와 같이 명령 실행에서 다른 사람을 방지 하는 방법을 소개 하 고 등등. 이 문서의 저자: 리 Paolin/leebolin 수석 시스템 엔지니어, 전문 네트워크 보안 관리자. 성공적으로 많은 대형 및 중소 기업, ISP에 대 한 완벽 한 네트워크 보안을 제공 하는 서비스 공급자가솔루션입니다. 전체 네트워크의 보안 프로그램 설계, 엔지니어링 계획, 전체 솔루션 서버 시리즈 보안의 전체 범위를 제공 하는 대규모 네트워크에서 특히 좋은. 책임 편집자 Zhaoyi zhaoyi#51cto.com 전화: (010) 68476636-8001 (0 표)를 강제로 유혹 (0 표) 넌센스 (0 표) 전문가 (0 표) 전달 (0 표) 원래 파티 (0 표) 제목: ASP 트로이 Webshell 보안 조치 네트워크 보안 홈으로 돌아가기