及
HKEY_CLASSES_ROOTShell.Application.1
改名为其它的名字,如:改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值
也可以将其删除,来防止此类木马的危害。
禁止Guest用户使用shell32.dll来防止调用此组件。
2000使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests
2003使用命令:cacls C:WINDOWSsystem32shell32.dll /e /d guests
注:操作均需要重新启动WEB服务后才会生效。
四、调用Cmd.exe
禁用Guests组用户调用cmd.exe
2000使用命令:cacls C:WINNTsystem32Cmd.exe /e /d guests
2003使用命令:cacls C:WINDOWSsystem32Cmd.exe /e /d guests
通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。
先停掉Serv-U服务
用Ultraedit打开ServUDaemon.exe
查找 Ascii:LocalAdministrator 和 #l@$ak#.lk;0@P
修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。
4、服务器安全设置之--IIS用户设置方法
IIS安全访问的例子
| IIS基本设置 | |
这里举例4个不同类型脚本的虚拟主机 权限设置例子
| 主机头 | 主机脚本 | 硬盘目录 | IIS用户名 | 硬盘权限 | 应用程序池 | 主目录 | 应用程序配置 |
| www.1.com | HTM | D:www.1.com | IUSR_1.com |
Administrators(完全控制) IUSR_1.com(读) |
可共用 | 读取/纯脚本 | 启用父路径 |
| www.2.com | ASP | D:www.2.com | IUSR_1.com |
Administrators(完全控制) IUSR_2.com(读/写) |
