龙空技术网

windows服务器挂马分析与处理二:ASP木马功能原理分析

丘丘爱学习 138

前言:

目前你们对“木马程序原理”大概比较注意,兄弟们都需要分析一些“木马程序原理”的相关文章。那么小编同时在网络上收集了一些对于“木马程序原理””的相关文章,希望同学们能喜欢,各位老铁们快快来了解一下吧!

接续上一篇。

二、ASP大马功能及禁止办法

1.浏览任何user或iusr有权限的文件和目录。这个是使用fso组件操作的。操作用户是iis应用程序池账号,默认情况下也就是iusr。当C盘没有严格设置权限时,可以随意读取下载其中的文件。要禁止此功能,可以禁用fso组件,但asp禁用此组件大部分网站将不能运行。另外可以设置权限,禁止iusr和user用户的读取,但C盘windows不能禁止,不然iis应用程序池无法启动。

大马读取C盘

防御重点:去除重要文件夹(尤其是C盘里的)除administrator和system之外的账户的权限,包括user,iusr,everyone等,保留windows文件夹user的读取权限。设置好后,大马将提示路径未找到。

2.新建目录、文件、编辑文件。大马对iusr和user有权限写入的文件夹/文件都可以随意创建和修改内容。功能由fso提供。此功能只有严格设置可写目录来防范。一般网站只有需要上传、缓存、日志功能的文件夹给写入权限。具体设置参见后文cms权限设置。

大马编辑、删除文件、创建文件夹、上传文件等功能

3.运行程序,执行cmd。该功能可提权执行控制服务器。原理有两种,一是通过wscript.shell、shell.application、wscript.network和他们的别名组件来调用命令,然后把命令结果重定向到文件,再读取文件输出到网页中。对于这种shell执行的功能,我们可以用asp探针,或者木马的组件支持功能检测,如果自己的服务器开启了这些危险组件,必须禁用。这些组件对正常asp站点运行没有任何影响。

防御重点:禁用组件Wscript.shell、Wscript.shell1、 wscript.network、wscript.network1、 shell.application、shell.application1。禁用方法,打开注册表(win+r,regedit),搜索组件名称(注意,仅勾选搜索项),搜出来后,点击clsid,点右边的值,删除,重启服务器即可。删除时可能会遇到拒绝访问,可以右键项,权限,设置administrator有权写。

通过注册表禁用asp危险组件

用阿江ASP探针检测服务器组件支持情况

二是通过cmd.exe等系统程序来执行命令。此即图中执行-CMD2的实现原理。但此方法很多命令会执行失败,不像第一种那样万能,所以网上经常有误wscript.shell提权,成功率多少,就是用这种方法。要禁止大马这个功能,应该设置系统自带的危险程序权限只保留administrator和system。也许你想把windows目录全部这样设置,就不用去设置具体程序了,但这样不行,iis应用程序池无法启动。表现为启动后网站一访问就自动停止。

防御重点:C:\WINDOWS\下的部分exe软件只保留Administrators和SYSTEM,如regedit.exe、regedt32.exe、cmd.exe、net.exe、net1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com、activeds.tlb、shell32.dll、wshom.ocx。如果懒得设置,至少要把cmd.exe的权限做好。

大马组件及硬件信息检测

5.探测服务器信息。这包括服务器硬件信息,端口,用户账户、环境变量等。此功能通过wscript.network组件实现。经过上一步删除后,即无法探测。

探测服务器信息

6.读取注册表。此功能通过wscript.shell来实现,禁用后则显示找不到项。

读取注册表

7.锁定、解锁程序。此功能能让木马程序藏身网站目录,显示隐藏文件也看不到,还需要显示系统文件才行。实际上就是给文件加上rhsa属性。通过上一步,给cmd.exe去除user权限后即无法使用该功能。此外,attrib.exe也应该设置好权限,不然也可能用于设置文件属性。

8.建带点目录,系统保留字目录。该功能统称畸形目录,一般可通过url访问,但无法删除。原理就是windows下不允许通过图形界面创建的目录和文件名,可以用命令创建。如带点目录..\、带系统保留字文件lpt1.asp等。要删除可用命令行。

9.其他加固办法。以下服务必须禁用:Server、Workstation、Print Spooler、Remote Registry、Routing and Remote Access、TCP/IP NetBIOS Helper、Computer Browser。正版系统开启自动更新。

CMS权限设置及更多处理方式见下一篇。

标签: #木马程序原理