有人被挂过aspxspy这个asp.net的木马？

metallica0778

有人被挂过aspxspy这个asp.net的木马？
这种木马权限很高啊，应该怎么样做安全设置？
最主要是怎么样才能禁止它列出服务器的详细信息和进程信息还有IIS下的站点信息啊？

小胖子

具体安全配置请参考老大的文章：
http://old.31896.net/Html/2006-12/30/10353601331.shtml

firefox

嗯，参考老大此文！
ASP.NET木马及Webshell安全解决方案
http://old.31896.net/Html/2006-12/30/10353601331.shtml

metallica0778

这文章N年前就看过而且知道方法了，严格限制权限只能是限制他浏览别的网站程序文件夹，但是它能列出服务器的详细信息和所有进程啊，还能遍历IIS下的所有站点！这个应该怎么防范？
研究了半天也只找到禁止C:\WINDOWS\system32\inetsrv目录下的adsiis.dll的user权限可以禁止遍历IIS
但是列出服务器详细信息和所有进程没办法解决~~~~~~~~~~！
囧~~~~~~~~



发个图给大家看看

flyfox

将你的aspxspy打qnqqnqn包上传一下！俺们一起测试～～
权限详细了 ～应该可以做到的！
workstion服务你开启了没有?

metallica0778

论坛貌似不能上传附件，还是我的权限不够？
所以我把大胆的吧木马放在我的服务器上了！

点我可以下载木马哦

提取码：a5296a30

上边的链接是由服务器上提取的asp.net的木马程序。需要在.net2.0或以上环境运行
有人说1.X也可以，没实验成功
登陆密码是：caonima   密码经过MD5加密，想改密码的自己看源代码吧
研究发现，由于木马使用了.net程序获得系统权限很高的特性，严格限制权限其实并没有很大作用，因为只要文件夹权限分配里含有User,IIS_WPG,NETWORK SERVICE这三个用户组其中的一个，木马就可以运行，并且可以通过猜测，跳转到别的文件夹，特别是WINDOWS文件夹，如果去掉IIS_WPG的权限的话，后果自己试试看吧
所以严格分配权限会使某些程序运行不正常，User,IIS_WPG的权限貌似能去掉，但是NETWORK SERVICE的权限是很多.net程序所必须的，所以我认为，只有找到程序是调用了哪个系统DLL文件里的参数，并且对它进行禁止，才是解决问题的关键，就好像对ASP木马，我们会把webshell的DLL卸载或者改名来达到防范的目的一样
到目前为止，只找到C:\WINDOWS\system32\inetsrv目录下的adsiis.dll去掉User的权限可以禁止遍历服务器上的所有站点，也就是木马里IIS_Spy所显示的内容
研究还在继续中，顺便鄙视一下那个挂我马的家伙

firefox

你的IIS是以独立进程，还是默认用户组进程的？
以前测试过这类木马~~无效的！
PS:你的MM.rar 404文件找不到

metallica0778

重新编辑了一下帖子！传到了QQ邮箱的文件中转站！能下载了！但只有7天期限，版主帮忙转移过来吧！
如果要提取码！那提取码是：a5296a30

我都是每个网站建立一个独立用户，每个用户独立的应用程序池，绝对按照“ASP.NET木马及Webshell安全解决方案”做的！

firefox

转到本坛下载~~

metallica0778

郁闷！没结果了？

firefox

在我自己的服务器上测试了下，没有出现楼主所说有的情况~~（进程没有权限出）
我限制了CMD的一些执行权！关于列表出IIS站点的问题还在研究中呢

metallica0778

能说说你的具体步骤吗？怎么配置让进程信息没有权限列出来？
到C:\WINDOWS\system32\inetsrv目录下的adsiis.dll去掉User的权限可以禁止遍历服务器上的所有站点了

LeeBolin

此图是此马在我服务器上的运行结果 :)
禁止掉IUSR_XXX 及system 的命令执行权，需有需要还可更改注册表相关列表权！

monglove

想问一下，楼主你的问题解决了吗？
我也是碰到这个问题，头疼。注册表的那个权限，他们说把USERS权限取消掉就可以，但是取消掉IIS就启动不了了，唉。

LeeBolin

PS楼上的: 的确adsiis.dll去掉User的权限可以禁止遍历服务器上的所有站点了 !不是inetsrv目录