12
返回列表 发帖
metallica0778

Rank: 1

帖子
精华
积分
14 
威望
14  
金钱
15  
在线时间
0 小时 
1# 跳转到 » 倒序看帖
打印
tT
发表于 2008-12-22 15:58 | 只看该作者

有人被挂过aspxspy这个asp.net的木马?

有人被挂过aspxspy这个asp.net的木马?
这种木马权限很高啊,应该怎么样做安全设置?
最主要是怎么样才能禁止它列出服务器的详细信息和进程信息还有IIS下的站点信息啊?
收藏 分享

小胖子

Rank: 8Rank: 8

帖子
241 
精华
积分
60 
威望
60  
金钱
44  
来自
北京 
在线时间
5 小时 
2#
发表于 2008-12-22 23:02 | 只看该作者
具体安全配置请参考老大的文章:
http://old.31896.net/Html/2006-12/30/10353601331.shtml
不要让生活磨灭我的性格!

TOP

firefox

Rank: 7Rank: 7Rank: 7

帖子
433 
精华
积分
2842 
威望
2842  
金钱
4710  
在线时间
360 小时 
3#
发表于 2008-12-23 00:12 | 只看该作者
嗯,参考老大此文!
ASP.NET木马及Webshell安全解决方案
http://old.31896.net/Html/2006-12/30/10353601331.shtml

TOP

metallica0778

Rank: 1

帖子
精华
积分
14 
威望
14  
金钱
15  
在线时间
0 小时 
4#
发表于 2008-12-23 11:09 | 只看该作者
本帖最后由 metallica0778 于 2008-12-23 11:40 编辑

这文章N年前就看过而且知道方法了,严格限制权限只能是限制他浏览别的网站程序文件夹,但是它能列出服务器的详细信息和所有进程啊,还能遍历IIS下的所有站点!这个应该怎么防范?
研究了半天也只找到禁止C:\WINDOWS\system32\inetsrv目录下的adsiis.dll的user权限可以禁止遍历IIS
但是列出服务器详细信息和所有进程没办法解决~~~~~~~~~~!
囧~~~~~~~~



发个图给大家看看

TOP

flyfox

Rank: 7Rank: 7Rank: 7

帖子
396 
精华
18 
积分
1593 
威望
1593  
金钱
1591  
在线时间
249 小时 
5#
发表于 2008-12-23 15:14 | 只看该作者
将你的aspxspy打qnqqnqn包上传一下!俺们一起测试~~
权限详细了 ~应该可以做到的!
workstion服务你开启了没有?
服务器安全讨论区 Server Security Discuss Area  简称:S.S.D.A [创造特色互联网共享精神  倡导服务器安全行业文化]
天下病毒 唯我查杀 流氓木马 手刃有余。

TOP

metallica0778

Rank: 1

帖子
精华
积分
14 
威望
14  
金钱
15  
在线时间
0 小时 
6#
发表于 2008-12-24 09:49 | 只看该作者
本帖最后由 metallica0778 于 2008-12-24 16:15 编辑

论坛貌似不能上传附件,还是我的权限不够?
所以我把大胆的吧木马放在我的服务器上了!

点我可以下载木马哦

提取码:a5296a30

上边的链接是由服务器上提取的asp.net的木马程序。需要在.net2.0或以上环境运行
有人说1.X也可以,没实验成功
登陆密码是:caonima   密码经过MD5加密,想改密码的自己看源代码吧
研究发现,由于木马使用了.net程序获得系统权限很高的特性,严格限制权限其实并没有很大作用,因为只要文件夹权限分配里含有User,IIS_WPG,NETWORK SERVICE这三个用户组其中的一个,木马就可以运行,并且可以通过猜测,跳转到别的文件夹,特别是WINDOWS文件夹,如果去掉IIS_WPG的权限的话,后果自己试试看吧
所以严格分配权限会使某些程序运行不正常,User,IIS_WPG的权限貌似能去掉,但是NETWORK SERVICE的权限是很多.net程序所必须的,所以我认为,只有找到程序是调用了哪个系统DLL文件里的参数,并且对它进行禁止,才是解决问题的关键,就好像对ASP木马,我们会把webshell的DLL卸载或者改名来达到防范的目的一样
到目前为止,只找到C:\WINDOWS\system32\inetsrv目录下的adsiis.dll去掉User的权限可以禁止遍历服务器上的所有站点,也就是木马里IIS_Spy所显示的内容
研究还在继续中,顺便鄙视一下那个挂我马的家伙

TOP

firefox

Rank: 7Rank: 7Rank: 7

帖子
433 
精华
积分
2842 
威望
2842  
金钱
4710  
在线时间
360 小时 
7#
发表于 2008-12-24 14:30 | 只看该作者
你的IIS是以独立进程,还是默认用户组进程的?
以前测试过这类木马~~无效的!
PS:你的MM.rar 404文件找不到

TOP

metallica0778

Rank: 1

帖子
精华
积分
14 
威望
14  
金钱
15  
在线时间
0 小时 
8#
发表于 2008-12-24 16:19 | 只看该作者
重新编辑了一下帖子!传到了QQ邮箱的文件中转站!能下载了!但只有7天期限,版主帮忙转移过来吧!
如果要提取码!那提取码是:a5296a30

我都是每个网站建立一个独立用户,每个用户独立的应用程序池,绝对按照“ASP.NET木马及Webshell安全解决方案做的!

TOP

firefox

Rank: 7Rank: 7Rank: 7

帖子
433 
精华
积分
2842 
威望
2842  
金钱
4710  
在线时间
360 小时 
9#
发表于 2008-12-24 16:42 | 只看该作者

转到本坛下载~~
附件: 您需要登录才可以下载或查看附件。没有帐号?注册

TOP

metallica0778

Rank: 1

帖子
精华
积分
14 
威望
14  
金钱
15  
在线时间
0 小时 
10#
发表于 2008-12-29 09:50 | 只看该作者
郁闷!没结果了?

TOP

firefox

Rank: 7Rank: 7Rank: 7

帖子
433 
精华
积分
2842 
威望
2842  
金钱
4710  
在线时间
360 小时 
11#
发表于 2008-12-29 10:47 | 只看该作者
本帖最后由 firefox 于 2008-12-29 10:51 编辑

在我自己的服务器上测试了下,没有出现楼主所说有的情况~~(进程没有权限出)
我限制了CMD的一些执行权!关于列表出IIS站点的问题还在研究中呢

TOP

metallica0778

Rank: 1

帖子
精华
积分
14 
威望
14  
金钱
15  
在线时间
0 小时 
12#
发表于 2008-12-29 16:26 | 只看该作者
能说说你的具体步骤吗?怎么配置让进程信息没有权限列出来?
到C:\WINDOWS\system32\inetsrv目录下的adsiis.dll去掉User的权限可以禁止遍历服务器上的所有站点了

TOP

LeeBolin

Rank: 10Rank: 10Rank: 10

帖子
293 
精华
积分
90000673 
威望
90000673  
金钱
90000406  
来自
广东 
在线时间
259 小时 
13#
发表于 2009-1-5 15:02 | 只看该作者


此图是此马在我服务器上的运行结果 :)
禁止掉IUSR_XXX 及system 的命令执行权,需有需要还可更改注册表相关列表权!
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远
游刃在技术鬼神边缘
打造服务器安全神话
创世纪网络技术前瞻
成就互联网革命先驱

TOP

monglove

Rank: 1

帖子
精华
积分
11 
威望
11  
金钱
11  
在线时间
0 小时 
14#
发表于 2009-1-22 20:12 | 只看该作者
想问一下,楼主你的问题解决了吗?
我也是碰到这个问题,头疼。注册表的那个权限,他们说把USERS权限取消掉就可以,但是取消掉IIS就启动不了了,唉。

TOP

LeeBolin

Rank: 10Rank: 10Rank: 10

帖子
293 
精华
积分
90000673 
威望
90000673  
金钱
90000406  
来自
广东 
在线时间
259 小时 
15#
发表于 2009-2-3 15:30 | 只看该作者
PS楼上的: 的确adsiis.dll去掉User的权限可以禁止遍历服务器上的所有站点了 !不是inetsrv目录
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远
游刃在技术鬼神边缘
打造服务器安全神话
创世纪网络技术前瞻
成就互联网革命先驱

TOP

12
返回列表