一次web 挂马所作出服务器的对策

一次web 挂马所作出服务器的对策

webshell
安全使用FSO主机：

一个简单的虚拟主机存在各种WEBSHELL的威胁的，假如你给朋友开了个虚拟主机空间，那么这个虚拟主机存在的最大安全隐患将会是FSO权限问题，其实FSO的安全隐患在Win2K系统里已经是令网管头疼的事了，但在Win2003中这个FSO的安全隐患却依然没有解决，在没有经过安全配置的虚拟主机下，只要黑客给虚拟主机空间上传一个木马，黑客就能利用FSO权限浏览服务器里的所有文件，并能复制、删除服务器里的所有文件，甚至能利用木马取得服务器的管理权，可见FSO安全配置的重要性。

如果黑客通过某些手段在你的虚拟主机空间上传了一个木马，那么就等于黑客已经拥有了一个WEBSHELL，黑客可以通过这个WEBSHELL控制整台服务器里的数据，


其实你如果要防范这种攻击，你只要把asp中的FSO（Scripting.FileSystemObject）功能删除就行了，删除FSO权限方法就是在CMD的命令提示符下输入以下命令：

Regsvr32 /u c:\windows\system32\scrrun.dll

注意：在实际操作的时候要更改成为你本地系统安装目录的实际路径，但是使用这种方法删除也太绝了一点，如果以后我们想使用FSO权限，那就用不了啦。所以建议不要使用这种方法删除FSO权限，

显而易见，如果这样做，那么包括站点系统管理员在内的任何人都将不可以使用FileSystemObject对象了，这其实并不是站点管理人员想要得到的结果，毕竟我们使用这个对象可以实现方便的在线站台管理，如果连系统管理员都没法使用了，那可就得不偿失了，但是不禁止这个危险的对象又会给自己的站点带来安全漏洞。那么有没有两全其美的方法呢？有！具体方法如下：

我们可以做到禁止其他人非法使用FileSystemObject对象,但是我们自己仍然可以使用这个对象。

方法如下：

查找注册表中

HKEY_CLASSES_ROOT\Scripting.FileSystemObject 键值

将其更改成为你想要的字符串(右键-->"重命名"),比如更改成为

HKEY_CLASSES_ROOT\Scripting.FileSystemObjectadmin123

如果你使用通常的方法来调用FileSystemObject对象就会无法使用了。

呵呵，只要你不告诉别人这个更改过的对象名称，其他人是无法使用FileSystemObject对象的。这样，作为站点管理者我们就杜绝了他人非法使用FileSystemObject对象，而我们自己仍然可以使用这个对象来方便的实现网站在线管理等等功能了！


不使用FSO对像就能使用的ASP木马防范方法：

对于这种免FSO对像就能使用的ASP木马，由于少了FSO对像的支持，功能上当然不会很强大的了，只有浏览服务器上的文件目录，复制、移动文件、执行指定路径的程序文件等功能。这个木马程的功能随然简单，但是用它来黑一个网站就是已经足够的了。


防范免FSO支持的ASP木马方法如下：

我们只要在注册表里查找键值shell.application和 wscript.shell 键值，然后把这些键值删除，就能防止这一类的ASP木马攻击了，删除这些键值对你的服务器及ASP支持等不会造成影响的，所以请放心删除


有一些WEBSHELL是调用系统下的CMD.EXE命令运行的。
对于这种webshell我们可以将system32下的cmd.exe进行改名，设个好一点的名字，这样只有你自己知道就ok呢。可是你在操作过程中会发现当你改了cmd.exe的名字以后在运行里打cmd还是能正常运行，再加在到文件平刷新一下发现又来了一个cmd.exe，郁闷了吧。告诉你这是windows系统文件保护的功能了，在系统里面有个系统文件的备份目录dllcache,看不见吧，因为这是受系统保护的。怎么看到他我想不用我说了，在这里我提下它的目录c:/windows/system32/dllcache.把里面的cmd.exe改下名字，再出来把 c:/windows/system32下cmd.exe改成同样的名字，看下是不是ok了。