原创文章,转载请保留以下信息
作者:ipist (ipist#126.com)
来源:[url]http://www.51cto.com[/url]
作者:ipist (ipist#126.com)
来源:[url]http://www.51cto.com[/url]
这篇文章可能用处并不大,铺天盖地的虚拟主机对这方面的防范已经很强,但网上对此讨论仍很流行,相信还是有人需要他,于是写了点自己使用的心得,我只是在自己的服务器平台上测试可行,如果存在相关问题、错误,请批评指正。QQ:5658474。
关于禁用FSO、防止ASP木马网上流传三种方法(不列举,在BAIDU上可轻松查到),但个人感觉使用起来都不太方便,最近自己琢磨了一种简易的办法供大家参考。
具体想法如下:
限制IIS_USER(IIS站点匿名访问用户)对相关DLL、EXE文件的调用权限,这样便可以独立设置某站点(站点之间使用独立IIS_USER)是否有权使用ASP危险组件。
新建一个组Users_hack,设置该组拒绝访问危险组件调用的DLL、EXE文件,那么属于该组的IIS_USER将无权调用相关DLL文件,该IIS_USER下的站点也无权调用相关组件。
需要注意的是,这些站点之间必须使用独立的应用程序池(2003+IIS6才支持),如果多个站点使用同一应用程序池只要该池下某站点有权调用相关组件后,所有其他站点也就自动有权调用了。
举例说明如下:
#添加Users_hack组,该组禁止调用以下ASP危险组件。
Net localgroup add Users_hack
#禁用FileSystemObject组件
cacls %systemroot%\system32\scrrun.dll /e /d Users_hack
#禁用Shell.Application组件
cacls %systemroot%\system32\shell32.dll /e /d Users_hack
#禁用wscript.shell组件
cacls %systemroot%\system32\wshom.ocx /e /d Users_hack
#禁用部分危险EXE
cacls %systemroot%\system32\cmd.exe /e /d Users_hack
cacls %systemroot%\system32\net.exe /e /d Users_hack
#该服务会泄露本机用户名
net stop workstation
关于禁用FSO、防止ASP木马网上流传三种方法(不列举,在BAIDU上可轻松查到),但个人感觉使用起来都不太方便,最近自己琢磨了一种简易的办法供大家参考。
具体想法如下:
限制IIS_USER(IIS站点匿名访问用户)对相关DLL、EXE文件的调用权限,这样便可以独立设置某站点(站点之间使用独立IIS_USER)是否有权使用ASP危险组件。
新建一个组Users_hack,设置该组拒绝访问危险组件调用的DLL、EXE文件,那么属于该组的IIS_USER将无权调用相关DLL文件,该IIS_USER下的站点也无权调用相关组件。
需要注意的是,这些站点之间必须使用独立的应用程序池(2003+IIS6才支持),如果多个站点使用同一应用程序池只要该池下某站点有权调用相关组件后,所有其他站点也就自动有权调用了。
举例说明如下:
#添加Users_hack组,该组禁止调用以下ASP危险组件。
Net localgroup add Users_hack
#禁用FileSystemObject组件
cacls %systemroot%\system32\scrrun.dll /e /d Users_hack
#禁用Shell.Application组件
cacls %systemroot%\system32\shell32.dll /e /d Users_hack
#禁用wscript.shell组件
cacls %systemroot%\system32\wshom.ocx /e /d Users_hack
#禁用部分危险EXE
cacls %systemroot%\system32\cmd.exe /e /d Users_hack
cacls %systemroot%\system32\net.exe /e /d Users_hack
#该服务会泄露本机用户名
net stop workstation
本文转自ipist 51CTO博客,原文链接:http://blog.51cto.com/ipist/11120
,如需转载请自行联系原作者
