大马读取C盘
防御重点:去除主要文件夹(尤其是C盘里的)除administrator和system之外的账户的权限,包括user,iusr,everyone等,保留windows文件夹user的读取权限。设置好后,大马将提示路径未找到。2.新建目录、文件、编辑文件。大马对iusr和user有权限写入的文件夹/文件都可以随意创建和修正内容。功能由fso供应。此功能只有严格设置可写目录来戒备。一样平常网站只有须要上传、缓存、日志功能的文件夹给写入权限。详细设置拜会后文cms权限设置。
大马编辑、删除文件、创建文件夹、上传文件等功能
3.运行程序,实行cmd。该功能可提权实行掌握做事器。事理有两种,一是通过wscript.shell、shell.application、wscript.network和他们的别名组件来调用命令,然后把命令结果重定向到文件,再读取文件输出到网页中。对付这种shell实行的功能,我们可以用asp探针,或者木马的组件支持功能检测,如果自己的做事器开启了这些危险组件,必须禁用。这些组件对正常asp站点运行没有任何影响。 防御重点:禁用组件Wscript.shell、Wscript.shell1、 wscript.network、wscript.network1、 shell.application、shell.application1。禁用方法,打开注册表(win+r,regedit),搜索组件名称(把稳,仅勾选搜索项),搜出来后,点击clsid,点右边的值,删除,重启做事器即可。删除时可能会碰着谢绝访问,可以右键项,权限,设置administrator有权写。
通过注册表禁用asp危险组件
用阿江ASP探针检测做事器组件支持情形
二是通过cmd.exe等系统程序来实行命令。此即图中实行-CMD2的实现事理。但此方法很多命令会实行失落败,不像第一种那样万能,以是网上常常有误wscript.shell提权,成功率多少,便是用这种方法。要禁止大马这个功能,该当设置系统自带的危险程序权限只保留administrator和system。大概你想把windows目录全部这样设置,就不用去设置详细程序了,但这样弗成,iis运用程序池无法启动。表现为启动后网站一访问就自动停滞。防御重点:C:\WINDOWS\下的部分exe软件只保留Administrators和SYSTEM,如regedit.exe、regedt32.exe、cmd.exe、net.exe、net1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com、activeds.tlb、shell32.dll、wshom.ocx。如果
大马组件及硬件信息检测
5.探测做事器信息。这包括做事器硬件信息,端口,用户账户、环境变量等。此功能通过wscript.network组件实现。经由上一步删除后,即无法探测。
探测做事器信息
6.读取注册表。此功能通过wscript.shell来实现,禁用后则显示找不到项。
读取注册表
7.锁定、解锁程序。此功能能让木马程序藏身网站目录,显示隐蔽文件也看不到,还须要显示系统文件才行。实际上便是给文件加上rhsa属性。通过上一步,给cmd.exe去除user权限后即无法利用该功能。此外,attrib.exe也该当设置好权限,不然也可能用于设置文件属性。8.建带点目录,系统保留字目录。该功能统称畸形目录,一样平常可通过url访问,但无法删除。事理便是windows下不许可通过图形界面创建的目录和文件名,可以用命令创建。如带点目录..\、带系统保留字文件lpt1.asp等。要删除可用命令行。9.其他加固办法。以下做事必须禁用:Server、Workstation、Print Spooler、Remote Registry、Routing and Remote Access、TCP/IP NetBIOS Helper、Computer Browser。正版系统开启自动更新。CMS权限设置及更多处理办法见下一篇。
