windows服务器挂马分析与处理二：ASP木马功能原理

接续上一篇。
二、ASP大马功能及禁止办法
1.浏览任何user或iusr有权限的文件和目录。这个是使用fso组件操作的。操作用户是iis应用程序池账号，默认情况下也就是iusr。当C盘没有严格设置权限时，可以随意读取下载其中的文件。要禁止此功能，可以禁用fso组件，但asp禁用此组件大部分网站将不能运行。另外可以设置权限，禁止iusr和user用户的读取，但C盘windows不能禁止，不然iis应用程序池无法启动。

大马读取C盘

防御重点：去除重要文件夹（尤其是C盘里的）除administrator和system之外的账户的权限，包括user，iusr，everyone等，保留windows文件夹user的读取权限。设置好后，大马将提示路径未找到。
2.新建目录、文件、编辑文件。大马对iusr和user有权限写入的文件夹/文件都可以随意创建和修改内容。功能由fso提供。此功能只有严格设置可写目录来防范。一般网站只有需要上传、缓存、日志功能的文件夹给写入权限。具体设置参见后文cms权限设置。

大马编辑、删除文件、创建文件夹、上传文件等功能

3.运行程序，执行cmd。该功能可提权执行控制服务器。原理有两种，一是通过wscript.shell、shell.application、wscript.network和他们的别名组件来调用命令，然后把命令结果重定向到文件，再读取文件输出到网页中。对于这种shell执行的功能，我们可以用asp探针，或者木马的组件支持功能检测，如果自己的服务器开启了这些危险组件，必须禁用。这些组件对正常asp站点运行没有任何影响。

防御重点：禁用组件Wscript.shell、Wscript.shell1、 wscript.network、wscript.network1、 shell.application、shell.application1。禁用方法，打开注册表（win+r，regedit），搜索组件名称（注意，仅勾选搜索项），搜出来后，点击clsid，点右边的值，删除，重启服务器即可。删除时可能会遇到拒绝访问，可以右键项，权限，设置administrator有权写。

通过注册表禁用asp危险组件

用阿江ASP探针检测服务器组件支持情况

二是通过cmd.exe等系统程序来执行命令。此即图中执行-CMD2的实现原理。但此方法很多命令会执行失败，不像第一种那样万能，所以网上经常有误wscript.shell提权，成功率多少，就是用这种方法。要禁止大马这个功能，应该设置系统自带的危险程序权限只保留administrator和system。也许你想把windows目录全部这样设置，就不用去设置具体程序了，但这样不行，iis应用程序池无法启动。表现为启动后网站一访问就自动停止。
防御重点：C:\WINDOWS\下的部分exe软件只保留Administrators和SYSTEM，如regedit.exe、regedt32.exe、cmd.exe、net.exe、net1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com、activeds.tlb、shell32.dll、wshom.ocx。如果懒得设置，至少要把cmd.exe的权限做好。

大马组件及硬件信息检测

5.探测服务器信息。这包括服务器硬件信息，端口，用户账户、环境变量等。此功能通过wscript.network组件实现。经过上一步删除后，即无法探测。

探测服务器信息

6.读取注册表。此功能通过wscript.shell来实现，禁用后则显示找不到项。

读取注册表

7.锁定、解锁程序。此功能能让木马程序藏身网站目录，显示隐藏文件也看不到，还需要显示系统文件才行。实际上就是给文件加上rhsa属性。通过上一步，给cmd.exe去除user权限后即无法使用该功能。此外，attrib.exe也应该设置好权限，不然也可能用于设置文件属性。
8.建带点目录，系统保留字目录。该功能统称畸形目录，一般可通过url访问，但无法删除。原理就是windows下不允许通过图形界面创建的目录和文件名，可以用命令创建。如带点目录..\、带系统保留字文件lpt1.asp等。要删除可用命令行。
9.其他加固办法。以下服务必须禁用：Server、Workstation、Print Spooler、Remote Registry、Routing and Remote Access、TCP/IP NetBIOS Helper、Computer Browser。正版系统开启自动更新。
CMS权限设置及更多处理方式见下一篇。