当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 防范WEB SHELL

安全防护
为Windows 2003安全—层层设防(3)
为Windows 2003安全—层层设防(4)
修改IIS的Banner隐藏操作系统版本
以毒攻毒!IIS Banner巧伪装
四招加强Windows 2003安全性
深入剖析EFS(2)
设置Active Directory域(1)
设置Active Directory域(2)
Rootkit分析(1)
Rootkit分析(2)
Rootkit分析(3)
Windows域信任关系建立全攻略
关于网站木马的解释(1)
关于网站木马的解释(2)
hdsi2.0 sql注入部分抓包(1)
hdsi2.0 sql注入部分抓包(2)
hdsi2.0 sql注入部分抓包(3)
hdsi2.0 sql注入部分抓包(4)
建造永不被杀的80端口后门(1)
建造永不被杀的80端口后门(2)

安全防护 中的 防范WEB SHELL


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 52 ::
收藏到网摘: n/a

防范这些WEBSHELL,首先是设置服务器的权限,禁止他们越权访问东西。服务器权限设置可以参考沉睡不醒整理的IIS FAQ  
(http://fox.he100.com/showart.asp?art_id=121&cat_id=1 ),我这里就直接引用原文的内容了  

如何让iis的最小ntfs权限运行?  
  依次做下面的工作:  
  a.选取整个硬盘:  
  system:完全控制  
  administrator:完全控制  
  (允许将来自父系的可继承性权限传播给对象)  

  b.\program files\common files:  
  everyone:读取及运行  
  列出文件目录  
  读取  
  (允许将来自父系的可继承性权限传播给对象)  

  c.\inetpub\wwwroot:  
  iusr_machinename:读取及运行  
  列出文件目录  
  读取  
  (允许将来自父系的可继承性权限传播给对象)  

  e.\winnt\system32:  
  选择除inetsrv和centsrv以外的所有目录,  
  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。  
  f.\winnt:  
  选择除了downloaded program files、help、iis temporary compressed files、  
  offline web pages、system32、tasks、temp、web以外的所有目录  
  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。  

  g.\winnt:  
  everyone:读取及运行  
  列出文件目录  
  读取  
  (允许将来自父系的可继承性权限传播给对象)  
    
  h.\winnt\temp:(允许访问数据库并显示在asp页面上)  
  everyone:修改  
  (允许将来自父系的可继承性权限传播给对象)  

再单独对cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe设置为只允许administrators组访问,这样就可以防范通过Serv-U的本地提升权限漏洞来运行这些关键的程序了,再删除cacls.exe这个程序,防止有人通过命令行来修改权限,呵呵。  
再来去掉一些ASP WEBSHELL需要使用的一些组件,这些组件其实普通的虚拟主机用户也是用不上的。  
很多防范ASP木马的文章都提到要删除FileSystemObject组件,但删除了这个组件后,很多ASP的程序可能会运行不了,其实只要做好了前面的工作,FileSystemObject组件能操作的,只能是自己目录下的文件,也就构成不了什么威胁了!  
现在看来,还比较有威胁的组件就是Shell.Application和Wscript.Shell这两个组件了,Shell.Application可以对文件进行一些操作,还可以执行程序,但不能带参数,而Wscript.Shell可以操作注册表和执行DOS命令。  

防范Wscript.Shell组件的方法:  
可以通过修改注册表,将此组件改名。  
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\  
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了  
也要将clsid值也改一下  
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值  
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值  
也可以将其删除,来防止此类木马的危害。  

防范Shell.Application组件的方法:  
可以通过修改注册表,将此组件改名。  
HKEY_CLASSES_ROOT\Shell.Application\  
及  
HKEY_CLASSES_ROOT\Shell.Application.1\  
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName  
自己以后调用的时候使用这个就可以正常调用此组件了。  
也要将clsid值也改一下  
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值  
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值  
也可以将其删除,来防止此类木马的危害。  
附参考文《构建免受 Fso 威胁虚拟主机》  
作者:稻香居士  

  现在绝大多数的虚拟主机都禁用了 ASP 的标准组件:FileSystemObject,因为这个组件为 ASP 提供了强大的文件系统访问能力,可以对