2005年03月26日

如果您的服务器正在受ASP木马的困扰,那么希望这篇文章能帮您解决您所面临的问题。

目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作。

一、使用FileSystemObject组件

FileSystemObject可以对文件进行常规操作

可以通过修改注册表,将此组件改名,来防止此类木马的危害。

HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名为其它的名字,如:改为FileSystemObject_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值

也可以将其删除,来防止此类木马的危害。

注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll

禁止Guest用户使用scrrun.dll来防止调用此组件。
使用命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests

二、使用WScript.Shell组件

WScript.Shell可以调用系统内核运行DOS基本命令

可以通过修改注册表,将此组件改名,来防止此类木马的危害。

HKEY_CLASSES_ROOT\WScript.Shell\

HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值

也可以将其删除,来防止此类木马的危害。

三、使用Shell.Application组件

Shell.Application可以调用系统内核运行DOS基本命令

可以通过修改注册表,将此组件改名,来防止此类木马的危害。

HKEY_CLASSES_ROOT\Shell.Application\

HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

也可以将其删除,来防止此类木马的危害。

禁止Guest用户使用shell32.dll来防止调用此组件。
使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests

注:操作均需要重新启动WEB服务后才会生效。

四、调用Cmd.exe

禁用Guests组用户调用cmd.exe

cacls C:\WINNT\system32\Cmd.exe /e /d guests

通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。

2005年03月18日

1、DDOS很难完全防御,当DDOS攻击量足够大的时候,所有的被攻击者都会瘫痪。所以防护的前提只是根据攻击量的大小进行相应的投资,防御只是相对的。

2、根据我的测试,除了大的网站外,国内目前网站绝大部分中小规模的企业/政府以及各种咨讯网站都没针对DDOS采取日常的DDOS防护措施,意识是一个方面,防护的巨大成本又是一个方面。典型的syn ddos攻击是以小带宽博大带宽,只要攻击者有一个放在宽带网上的服务器,非常容易实施攻击。

3、针对DDOS攻击,比较彻底防御的方式主要是路由器+防火墙+负载均衡的方式,需要ISP的配合,以及投入负载均衡服务器,实现比较困难。

对于中小规模的网站来说,实际可行的方式是直接加载专门的防DDOS的硬件,目前国内比较有效的是国内的绿盟的黑洞系列,专门用来防DDOS的,部署比较方便。而其国内外的硬件防护类主要是综合的硬件防火墙,防DDOS只是其中一项功能,效果和效率都不是太好,而且很昂贵。另外sharesec.com的硬件防火墙据说他们本人说效果很好,但暂时无法得知实际效果。

4、软件防护方面,诸如blackice这样的防火墙软件基本没什么效果,而且占用服务器资源较多。而专门的软件比较流行的有KFW以及冰盾,根据网上反馈的效果来说,KFW并不好,效果不很理想,而且价格昂贵。而冰盾使用起来,据黑客基地的站长说,效果很好,他们的网站在被D的时候,确实D不动。但我本人一直没用起来,不知道为何,可以详细做下配置,之后再看。

5、绿盟的黑洞主要分为百兆和千兆,前者用于保护单个站点或者服务器,后者用来保护骨干设备,比如千兆交换机。百兆又细分为5个接口,10个接口等等。百兆5接口的报价138000元。

6、目前万网的虚拟主机就采用的是黑洞的产品,价格比较贵,但关键是限制了流量,3200元的,每月的流量限制是30G。很容易超出。

而服务器托管商方面,实力大都不行,有黑洞防火墙的,都是在应急的时候使用,平常并不架设。租用的价格我看到一家是1天500元。

总体来说,由于目前网上DDOS攻击的易实施以及防护软硬件的昂贵,让DDOS攻击成了很多站长的噩梦,在2005年,必定会成为更多站长的噩梦……