Chinaunix首页 | 论坛 | 博客
  • 博客访问: 568029
  • 博文数量: 113
  • 博客积分: 7005
  • 博客等级: 少将
  • 技术积分: 1275
  • 用 户 组: 普通用户
  • 注册时间: 2006-03-16 11:15
文章分类

全部博文(113)

文章存档

2008年(18)

2007年(17)

2006年(78)

我的朋友

分类: 系统运维

2008-04-28 20:40:44

引用内容 Admin365.COM 天天站长
通过关闭FSO权限,ASP脚本木马等程序将无法上传至站点之下,因此更无法运行。
同时这将保障网站文件不被恶意更改。而且并不影响ACCESS数据库的正常读写。 Admin365.COM 天天站长
要关闭站点FSO权限,请确认:
* 您的站点没有用到FSO功能,不通过ASP等脚本对站点文件进行读写和删除。 Admin365.COM 天天站长

Admin365.COM 天天站长
Admin365.COM 天天站长
hzhost这个自定义FSO的功能的确很实用,但是我却不知道他实现的方法 Admin365.COM 天天站长
今天找了下,终于发现了
是通过设置注册表路径HKEY_CLASSES_ROOT\Scripting.FileSystemObject该处的权限实现,如要关闭某站点的FSO权限,在该处权限设置拒绝该IIS用户即可,如图所示

在注册表HKEY_CLASSES_ROOT\Adodb.stream处,hzhost同样为live该IIS用户设置了拒绝权限,说明关闭FSO权限后,该站点的Adodb.stream组件权限也被随之关闭

还没有想像中的复杂,一开始我找的是FSO的CLSID={0D43FE01-F093-11CF-8940-00A0C9054228}的注册表权限,没有发现hzhost为该处设置权限。 Admin365.COM 天天站长
关闭FSO后,ASPSHELL即使上传也根本没用了,因为Scripting.FileSystemObject和Adodb.stream两大组件他都不能用了^_^ Admin365.COM 天天站长

这样的话,我们可以写个批处理文件,在某些没装主机控制系统的服务器上,用批处理实现Scripting.FileSystemObject和Adodb.stream两个组件的开关
关闭FSO和ADO.stream: Admin365.COM 天天站长
引用内容 Admin365.COM 天天站长
setacl CLASSES_ROOT\Scripting.FileSystemObject /registry /deny Guests /full Admin365.COM 天天站长
setacl CLASSES_ROOT\Scripting.FileSystemObject /registry /deny hostgroup /full
setacl CLASSES_ROOT\ADODB.Stream /registry /deny hostgroup /full Admin365.COM 天天站长
setacl CLASSES_ROOT\ADODB.Stream /registry /deny Guests /full Admin365.COM 天天站长

Admin365.COM 天天站长
打开FSO和ADO.stream
引用内容
setacl CLASSES_ROOT\Scripting.FileSystemObject /registry /grant Guests /full Admin365.COM 天天站长
setacl CLASSES_ROOT\Scripting.FileSystemObject /registry /grant hostgroup /full Admin365.COM 天天站长
setacl CLASSES_ROOT\ADODB.Stream /registry /grant hostgroup /full
setacl CLASSES_ROOT\ADODB.Stream /registry /grant Guests /full Admin365.COM 天天站长
Admin365.COM 天天站长

嘿嘿,实现只有在需要的时候用到这两个组件了,防止aspshell利用这两个组件危害服务器的安全
setacl.exe文件可以在本blog以前的文章中找到下载
 
**************************************************************************
 
Scripting.FileSystemObject 被禁用了或Scripting.FileSystemObject被改名了,重新注册一下,或打开注册表修改
在运行里输入 Regsvr32 c:\windows\system32\scrrun.dll 确定
阅读(1943) | 评论(1) | 转发(0) |
给主人留下些什么吧!~~

chinaunix网友2009-03-15 13:57:05

转载请说明出处!