ASP教程之ASP木马Webshell平安处理办案

因为ASP脚本语言非常简单，因此其代码也简单易懂，结合HTML代码，可快速地完成网站的应用程序。还无法完全实现一些企业级的功能：完全的集群、负载均横。web|平安|处理|木马   　　注重：本文所讲述之设置办法与情况：合用于Microsoft Windows 2000 Server/Win2003 SERVER  IIS5.0/IIS6.0

　　1、起首咱们来看看普通ASP木马、Webshell所使用的ASP组件有那些？咱们以陆地木马为列：

　　＜object runat="server" id="ws" scope="page" classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"＞

　　＜/object＞

　　＜object runat="server" id="ws" scope="page" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"＞

　　＜/object＞

　　＜object runat="server" id="net" scope="page" classid="clsid:093FF999-1EA0-4079-9525-9614C3504B74"＞

　　＜/object＞

　　＜object runat="server" id="net" scope="page" classid="clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B"＞

　　＜/object＞

　　＜object runat="server" id="fso" scope="page" classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228"＞

　　＜/object＞

　　shellStr="Shell"

　　applicationStr="Application"

　　if cmdPath="wscriptShell"

　　set sa=server.createObject(shellStr&"."&applicationStr)

　　set streamT=server.createObject("adodb.stream")

　　set domainObject = GetObject("WinNT://.")
以上是陆地中的相干代码，从下面的代码咱们不好看出普通ASP木马、Webshell次要使用了以下几类ASP组件：
　　① WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)

　　② WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)

　　③ WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74)

　　④ WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)

　　⑤ FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)

　　⑥ Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})

　　⑦ Shell.applicaiton....
　　hehe，这下咱们清晰了伤害咱们WEB SERVER IIS的最祸首罪魁是谁了!!入手下手操刀,come on...
　　2、处理举措：

　　① 删除或改名以下风险的ASP组件：

　　WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application

　　入手下手-------＞运转---------＞Regedit，翻开注册表编纂器，按Ctrl+F查找，顺次输出以上Wscript.Shell等组件称号和响应的ClassID，然落后行删除或更更名称(这里建议人人改名，假如有局部网页ASP法式使用了下面的组件的话呢，只需在将写ASP代码的时分用咱们更改后的组件称号便可正常利用。固然假如你确信你的ASP法式中没有效到以上组件，仍是直接删除心中扎实一些^_^,按惯例普通来讲是不会做到以上这些组件的。删除或改名后，iisreset重启IIS后便可升效。)

　　[注重：因为Adodb.Stream这个组件有良多网页中将用到，所以假如你的办事器是开虚拟主机的话，建议酢情处置。]

　　② 关于 File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常说的FSO的平安成绩，假如您的办事器必须要用到FSO的话，(局部虚拟主机办事器普通需开FSO功效)可以参照自己的另外一篇关于FSO平安处理举措的文章:Microsoft Windows 2000 Server FSO 平安隐患处理举措。假如您确信不要用到的话，可以直接反注册此组件便可。

　　③ 直接反注册、卸载这些风险组件的办法：(适用于不想用①及②类此类烦琐的办法)

　　卸载wscript.shell对象，在cmd下或直接运转：regsvr32 /u %windir%\system32\WSHom.Ocx

　　卸载FSO对象,在cmd下或直接运转：regsvr32.exe /u %windir%\system32\scrrun.dll

　　卸载stream对象,在cmd下或直接运转： regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"

　　假如想恢复的话只需求去失落 /U 便可从头再注册以上相干ASP组件例如：regsvr32.exe %windir%\system32\scrrun.dll

　　④ 关于Webshell中使用set domainObject = GetObject("WinNT://.")来获得办事器的历程、办事和用户等信息的提防，人人可以将办事中的Workstation[供应收集链结和通信]即Lanmanworkstation办事中断并禁用便可。此处置后，Webshell显示历程处将为空白。

　　3、依照上1、2办法对ASP类风险组件停止处置后，用阿江的asp探针测试了一下,"办事器CPU概况"和"办事器操作体系"基本查不到,内容为空白的。再用陆地测试Wsript.Shell来运转cmd号令也是提醒Active没法创立对像。人人就都可以不再要为ASP木马伤害到办事器体系的平安而担扰了。  　　固然办事器平安远远不至这些，这里为人人引见的仅仅是自己在处置ASP木马、Webshell上的一些心得体味。鄙人一篇中将为人人引见若何简复杂单的避免他人在办事器上履行如net user之类的号令，防溢出类进击失掉cmdshell，和履行添加用户、改NTFS设置权限到终端登录等等的最复杂无效的提防办法。</p>  Windows本身的所有问题都会一成不变的也累加到了它的身上。安全性、稳定性、跨平台性都会因为与NT的捆绑而显现出来；

我可以结合自己的经验大致给你说一说，希望对你有所帮助，少走些弯路。