[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.5 _, ]- y' [$ B
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件8 G* K8 t4 S1 P6 l

0 N' c* c% t3 U/ B: F  x+ r) S1 p1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
% M* j0 R$ r( T- u+ s1 _$ u5 _$ |HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
, `* l/ i$ ^( d. m% i) H6 \改名为其它的名字，如：改为FileSystemObject_3800
9 Z. n7 }3 E: d自己以后调用的时候使用这个就可以正常调用此组件了.; X0 f# x" h, ^
2.也要将clsid值也改一下
3 S# @0 ]" F: k- Z6 \( ~0 ^4 ]4 J+ ~HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值6 T: ~7 C3 t) {3 y
可以将其删除，来防止此类木马的危害.
0 D. K% l% a2 m# g3 R5 _. L& T6 v3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
3 |$ @/ C. ^: K+ a如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件+ k# m* t. `; r" ~  b4 {: r+ A; i9 h
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:  z% B8 b) Z8 b+ u
cacls C:\WINNT\system32\scrrun.dll /e /d guests, o! T' Y& H6 b4 L  L  Q, L8 a6 }

" E- h: o* k( B( _

二.使用WScript.Shell组件4 t0 G ]8 _9 J5 B1 Y+ O* A: h p6 ^

8 O, T# V6 M+ g* c' M4 w; R1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.# c0 V; B9 ^3 M% _

4 Z% U1 O* N8 I* qHKEY_CLASSES_ROOT\WScript.Shell\
) {+ s( m, S! c3 w* T. b及& @7 r; V+ A1 y
HKEY_CLASSES_ROOT\WScript.Shell.1\
7 p3 O; S% x$ `6 E1 v0 c2 O& E改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc6 v& v1 L1 e$ J0 ?. j9 \
自己以后调用的时候使用这个就可以正常调用此组件了
- E" j! c& I' Q4 }. h& ^- P% \! R) r5 I0 H' M, N0 W
2.也要将clsid值也改一下' w/ F+ [5 e# c& ~6 y! I
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
9 i. j" J" C+ ]+ aHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值# w8 @4 P$ x! a+ V3 m
也可以将其删除，来防止此类木马的危害。
0 b D" v3 @$ u' K# `5 M: l6 Q

三.使用Shell.Application组件

. X% ^3 L5 @; N: q/ o
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
/ z0 P! {2 V( U- L! A, ~$ H* kHKEY_CLASSES_ROOT\Shell.Application\5 l; P& \+ F7 I* O: e# q
及
/ ?( {! u+ e5 q; D6 IHKEY_CLASSES_ROOT\Shell.Application.1\
- P* O7 x7 {4 _4 l' `' I改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
1 y) Y9 X4 @ C& H& y6 e* `3 ]自己以后调用的时候使用这个就可以正常调用此组件了
% v l1 f4 @% g& P% i2.也要将clsid值也改一下; k: O/ U6 }& A1 T8 y& \
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值. J, p/ x9 W3 R; z3 Y
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值, r8 D, N9 B) E6 L: v/ d5 s
也可以将其删除，来防止此类木马的危害。; F9 m8 Y, C% X, c9 }/ C7 w6 A2 P

) {. F2 r3 w2 y5 K& L3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
3 l% t! `3 P) v- \/ r9 fcacls C:\WINNT\system32\shell32.dll /e /d guests
$ l% Y6 S) Y0 z" l- W) M

四.调用cmd.exe. o6 @' ?1 E" F4 b8 k" @7 V. V0 n

: I: f1 |( u4 G2 K禁用Guests组用户调用cmd.exe命令:( i5 j8 E; K8 l" s/ H9 j
cacls C:\WINNT\system32\Cmd.exe /e /d guests
9 Z5 M1 O+ q$ y4 F: {& N

五.其它危险组件处理:* }* @3 \& h# p0 z% s! M

  p3 B5 e- d" i& D
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
8 ]: ?0 H' G  v9 D' aWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)! T. @$ ]  E2 y7 y
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
% i& @+ P2 w: g  h6 y( e, n

5 W" X: ^% {+ t$ f

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
; Z2 s5 a( m( m6 c3 a/ Q
PS:有时间把图加上去，或者作个教程