[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

8 D3 [3 d% s6 Y( b

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)- `0 a: L* C; J8 f/ R
信息来源：3.A.S.T网络安全技术团队# o) I0 K N) C. x5 x# e! R, G
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作./ k9 F) U$ z* ^8 J) }
WScript.Shell组件---可以调用系统内核运行DOS基本命令.6 ]% e. m, c) ^. a
Shell.Application组件--可以调用系统内核运行DOS基本命令.6 W, L4 U+ X- o- p; H, o: v

一.使用FileSystemObject组件

) n% H% H8 Z% A" o! d) s7 F1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.( Z5 _' q9 o# D+ j
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
# a0 r+ s# ~9 B) l! T. F5 r& U. T7 l改名为其它的名字，如：改为FileSystemObject_38004 o- S5 \% O( Q. u* E9 }
自己以后调用的时候使用这个就可以正常调用此组件了.
! V+ D+ |$ Q: |. o2.也要将clsid值也改一下8 G& h# o1 c: g, X( _+ w  R& T
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
; z% x0 Y( W% f6 x" N8 x- \( `$ C可以将其删除，来防止此类木马的危害.
8 g3 L* w; p% d9 z3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  2 q% J1 @1 A% Y5 y. G$ X2 s# x
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
) r, ~) ~; h! {  ?; D4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
/ f. X/ C1 e# g9 X4 hcacls C:\WINNT\system32\scrrun.dll /e /d guests% i) w  a) H6 g9 D% p: O

3 m0 n6 N. B% r! I# F+ g
7 W/ b8 b- d+ H# |1 w" y
二.使用WScript.Shell组件) t7 o8 o. S2 a$ `' u5 F

/ M" q; B$ s$ a: O- `7 Y" w4 x
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.% r9 g8 X4 n0 {4 ]. F% u

' x! g% S& Z& ?. R  g. y  F8 XHKEY_CLASSES_ROOT\WScript.Shell\" L3 K. e7 j- r3 u6 g3 f5 p
及
( z# K, @0 o; ?HKEY_CLASSES_ROOT\WScript.Shell.1\, g, u+ w0 Y3 W) M( \  Z7 x/ n
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
+ Y) M6 e- K+ u自己以后调用的时候使用这个就可以正常调用此组件了% M! A0 v3 U% f/ o4 Z( \
$ e7 Q& ]1 Q4 T& G; R. G% ?3 p
2.也要将clsid值也改一下
- X* b/ M2 u! Y) @. H" d9 EHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值* g7 c# q. Y* t3 \" \7 K
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值$ u  _. ^& i$ T9 r
也可以将其删除，来防止此类木马的危害。6 |7 `% _6 F/ j6 F/ U5 ~+ s0 g# i+ j

& s& _! [' H5 U3 T0 O2 I
三.使用Shell.Application组件

" A) W/ |, ]  N- Y5 V' l
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。2 B/ e# m5 ~* B4 z2 v, q/ n
HKEY_CLASSES_ROOT\Shell.Application\
9 {" p5 @4 l& i( R. g9 w  O! X# ~, h及
: u& g& K* y  GHKEY_CLASSES_ROOT\Shell.Application.1\: B( n5 L4 |( }5 Q1 n4 T
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
0 C$ t) V& d% M' x自己以后调用的时候使用这个就可以正常调用此组件了
( n7 b4 ]( H& h: d2.也要将clsid值也改一下4 p6 k# V/ x/ q2 M
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值9 C% _/ `8 ]5 \# N$ I
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值8 w7 h: W7 m/ K, W  R( T2 d2 Y
也可以将其删除，来防止此类木马的危害。
, q8 d1 |- B! s2 F/ n- P2 Y/ a; g- |9 A7 e1 F
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
# f9 o! {5 I4 D4 n6 zcacls C:\WINNT\system32\shell32.dll /e /d guests: X/ F" p) o" i1 ]% V

4 k" _$ J; D' A5 n
四.调用cmd.exe$ \: N; }. a: f- o

: @( @5 T) ?. l# V禁用Guests组用户调用cmd.exe命令:
" W4 L9 o; F5 M& \ u; Xcacls C:\WINNT\system32\Cmd.exe /e /d guests
4 O; u- m+ q* p

' a( W5 L5 W" s+ }4 [: [
+ K4 } h7 M- @ h
五.其它危险组件处理:

5 Z9 M2 D# {8 z) Q$ }3 N, R
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
" O' ^' }" y% Q! tWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)3 g4 L: H+ |2 n6 B5 f8 |0 K
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)9 T+ A2 ?/ m, p# a# J

6 a9 ]! V+ F7 l* U$ ? A9 ]$ E
+ _( w J+ U& a: t, w# k
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.* I! C6 O. O) ^& F' p3 X6 z# X
+ \6 h# R2 W% h3 N% U9 b
PS:有时间把图加上去，或者作个教程