防止.NET木馬列所有站物理路徑 防止.JPG類型木馬
作者:百度博客
前段時間單位的服務器上被人上傳了一個.NET木馬,,這次讓我認識到以前沒有見過的上傳木馬的招數,,同時也找出一些對策,,咱落伍論壇很多都有服務器的,,就分享出來給大家吧。
前段時間單位的服務器上被人上傳了一個.NET木馬,,這次讓我認識到以前沒有見過的上傳木馬的招數,,同時也找出一些對策,,咱落伍論壇很多都有服務器的,,就分享出來給大家吧。
.net木馬目前很強的,,下載地址:http://www.rootkit.net.cn/article.asp?id=132 (你可以上傳到你的服務器上看看對你的系統都能做什么)
此木馬是一個.NET程序制作,如果你的服務器支持.NET那就要注意了,,進入木馬有個功能叫:IIS Spy,點擊以后可以看到所有站點所在的物理路徑。以前有很多人提出過,但一直沒有人給解決的答案。。
防御方法:
“%SystemRoot%/ServicePackFiles/i386/activeds.dll
“%SystemRoot%/system32/activeds.dll
“%SystemRoot%/system32/activeds.tlb
搜索這兩個文件,把USER組和POWERS組去掉,只保留administrators和system權限。。如果還有其它組請全部去掉。。這樣就能防止這種木馬列出所有站點的物理路徑。。。
asp程序最近碰到一個上傳圖片,但如果上傳圖片的文件夾給了IIS可執行腳本的權限,那么他上傳.jpg的圖片也一樣能夠執行ASP木馬。呵呵
上傳的格式為:xxx.asp;_200.jpg 注意他是用.jpg的格式上傳,但中間有.asp,這樣也能執行腳本,應該也是IIS的BUG。解決方法:
一、能上傳的目錄給IIS不允許執行腳本的權限。
二、利用其它帶文件防護功能的軟件防止*.asp;*.jpg寫入文件。
三、所有目錄允許讀取,只要是寫入的文件夾在IIS里請將腳本改為無。如果沒有服務器的朋友,那被傳馬那也沒辦法了,除非你可以協調空間商幫你做這些操作
【編輯推薦】
責任編輯:趙寧寧
來源:
百度博客
