windows服务器挂马分析与处理二:ASP木马功能原理分析


接续上一篇。
二、ASP大马功能及禁止办法1.浏览任何user或iusr有权限的文件和目录。
这个是使用fso组件操作的。
操作用户是iis应用程序池账号,默认情况下也就是iusr。
当C盘没有严格设置权限时,可以随意读取下载其中的文件。
要禁止此功能,可以禁用fso组件,但asp禁用此组件大部分网站将不能运行。
另外可以设置权限,禁止iusr和user用户的读取,但C盘windows不能禁止,不然iis应用程序池无法启动。
大马读取C盘防御重点:去除重要文件夹(尤其是C盘里的)除administrator和system之外的账户的权限,包括user,iusr,everyone等,保留windows文件夹user的读取权限。
设置好后,大马将提示路径未找到。
2.新建目录、文件、编辑文件。
大马对iusr和user有权限写入的文件夹/文件都可以随意创建和修改内容。
功能由fso提供。
此功能只有严格设置可写目录来防范。
一般网站只有需要上传、缓存、日志功能的文件夹给写入权限。
具体设置参见后文cms权限设置。
大马编辑、删除文件、创建文件夹、上传文件等功能3.运行程序,执行cmd。
该功能可提权执行控制服务器。
原理有两种,一是通过wscript.shell、shell.application、wscript.network和他们的别名组件来调用命令,然后把命令结果重定向到文件,再读取文件输出到网页中。
对于这种shell执行的功能,我们可以用asp探针,或者木马的组件支持功能检测,如果自己的服务器开启了这些危险组件,必须禁用。
这些组件对正常asp站点运行没有任何影响。
防御重点:禁用组件Wscript.shell、Wscript.shell1、 wscript.network、wscript.network1、 shell.application、shell.application1。
禁用方法,打开注册表(win+r,regedit),搜索组件名称(注意,仅勾选搜索项),搜出来后,点击clsid,点右边的值,删除,重启服务器即可。
删除时可能会遇到拒绝访问,可以右键项,权限,设置administrator有权写。
通过注册表禁用asp危险组件 用阿江ASP探针检测服务器组件支持情况二是通过cmd.exe等系统程序来执行命令。
此即图中执行-CMD2的实现原理。
但此方法很多命令会执行失败,不像第一种那样万能,所以网上经常有误wscript.shell提权,成功率多少,就是用这种方法。
要禁止大马这个功能,应该设置系统自带的危险程序权限只保留administrator和system。
也许你想把windows目录全部这样设置,就不用去设置具体程序了,但这样不行,iis应用程序池无法启动。
表现为启动后网站一访问就自动停止。
防御重点:C:WINDOWS下的部分exe软件只保留Administrators和SYSTEM,如regedit.exe、regedt32.exe、cmd.exe、net.exe、net1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com、activeds.tlb、shell32.dll、wshom.ocx。
如果懒得设置,至少要把cmd.exe的权限做好。
大马组件及硬件信息检测5.探测服务器信息。
这包括服务器硬件信息,端口,用户账户、环境变量等。
此功能通过wscript.network组件实现。
经过上一步删除后,即无法探测。
探测服务器信息6.读取注册表。
此功能通过wscript.shell来实现,禁用后则显示找不到项。
读取注册表7.锁定、解锁程序。
此功能能让木马程序藏身网站目录,显示隐藏文件也看不到,还需要显示系统文件才行。
实际上就是给文件加上rhsa属性。
通过上一步,给cmd.exe去除user权限后即无法使用该功能。
此外,attrib.exe也应该设置好权限,不然也可能用于设置文件属性。
8.建带点目录,系统保留字目录。
该功能统称畸形目录,一般可通过url访问,但无法删除。
原理就是windows下不允许通过图形界面创建的目录和文件名,可以用命令创建。
如带点目录..、带系统保留字文件lpt1.asp等。
要删除可用命令行。
9.其他加固办法。
以下服务必须禁用:Server、Workstation、Print Spooler、Remote Registry、Routing and Remote Access、TCP/IP NetBIOS Helper、Computer Browser。
正版系统开启自动更新。
CMS权限设置及更多处理方式见下一篇。

未经允许不得转载:选主机测评网 » windows服务器挂马分析与处理二:ASP木马功能原理分析