采用默认设置,将海洋顶端2006放至web目录下,运行海洋顶端木马可以看出,在系统默认设置下,所有的操作都可用,也就是只要入侵者通过某种途径取得了webshell,那么采用海洋顶端木马就可以修改和删除web服务器的里面的绝大部分文件,甚至提升权限。
我们来看看海洋顶端都有一些什么操作,大家看第6,7,8,9项,通过他们就可以运行服务器上的程序和修改文件。FSO我们先不管,我们先来卸载WScript.Shell, Shell.application
这两个组件。
选开始-----运行
regsvr32 /u WSHom.Ocx
regsvr32 /u shell32.dll
也可以设置为禁止guests用户组访问,然后将访问web目录的默认账户设为guests组
cacls %systemroot%\system32\shell32.dll /e /d guests
如果提示无法删除文件正在使用,请先停用iis删除相关进程,然后再进行删除
当然还可以将这些组建改名,但要记得需要改两个地方。
1.WScript.Shell组件修改方法
HKEY_CLASSES_ROOT\WScript.Shell\
及
HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
2.
Shell.Application组件修改方法
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
这样,就可以防止木马文件调用这些组建了。
为了进一步的安全,我们还可以把 %systemroot%\system32 下的net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe 等设为只允许administrator访问。
订阅