[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队8 H2 r. z6 J& W( \, F
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.& A& F( V- f$ C' p8 b# J- c
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.: n9 Q% h* f# h+ _9 ?# M' X, l
Shell.Application组件--可以调用系统内核运行DOS基本命令.4 ]$ p1 u- k9 x$ i6 o

一.使用FileSystemObject组件0 F% `: ~6 }: k0 f" D8 d

2 y- ?7 T8 J# A/ K( n
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.  k5 ]9 p2 e/ {, d* B' d
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\, k6 o( e" h8 C) N7 H
改名为其它的名字，如：改为FileSystemObject_3800
8 Q9 [3 H* Z3 N) N" g$ H' s" B自己以后调用的时候使用这个就可以正常调用此组件了.1 b' C2 Z& p9 t: x
2.也要将clsid值也改一下
8 _/ A8 I1 S; p* S- }2 BHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
& @2 J/ R4 d0 K$ G. [, A0 A可以将其删除，来防止此类木马的危害.
9 x/ g4 K3 N3 d% N; }& n& g* m! M3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  5 U# L% C) Q1 V7 }- e
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
3 K2 U& P; @8 `. P4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:$ c) n1 i9 t! u  H! ^
cacls C:\WINNT\system32\scrrun.dll /e /d guests
4 o; \- S* f0 |8 {( G7 [

二.使用WScript.Shell组件

7 i. m9 [& A* \$ I1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.3 _) [& g+ j% [$ p# S

' l+ J! N" c4 n5 o) y9 Y" pHKEY_CLASSES_ROOT\WScript.Shell\3 [; R( ?$ B# v) D! m
及
( p; v+ Q- S; ~  FHKEY_CLASSES_ROOT\WScript.Shell.1\
- D( s1 Q4 b0 g# h  a) B改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc$ c! [$ I9 @  @/ s* b" }# h) p7 Z
自己以后调用的时候使用这个就可以正常调用此组件了
% [( w3 k7 c5 t% Z* Q4 R$ K; L' T
5 ~% ~8 U) A  B# [; o6 ~1 v/ m2.也要将clsid值也改一下
+ j5 k6 Q$ e5 b4 e( hHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
; g6 e) ]  A" K9 t$ e6 t# SHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值0 t6 e" z' o5 P6 t  K* k
也可以将其删除，来防止此类木马的危害。8 j# _+ B  ?4 ^' W0 [* V3 N

三.使用Shell.Application组件- x2 i4 H6 m- L% H0 p

5 i/ T' J7 R0 Z; g4 D. A4 R" X
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
( m; r+ {# c' d+ A* NHKEY_CLASSES_ROOT\Shell.Application\* l' Q! q$ f' n
及# u  C+ x! q) N
HKEY_CLASSES_ROOT\Shell.Application.1\: M: g) q: ?8 d: A0 y
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName2 O0 w3 D: \! |9 p
自己以后调用的时候使用这个就可以正常调用此组件了+ c3 G8 C2 v- j3 m: R6 H
2.也要将clsid值也改一下
$ A! f# B* z  o9 _HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值4 o8 T" R- I  L
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值( P& U; i/ K2 ^% f
也可以将其删除，来防止此类木马的危害。
4 ?1 [  m+ X! H! |0 z
  T9 R1 u* }- ?3.禁止Guest用户使用shell32.dll来防止调用此组件命令:% F7 R3 W6 q2 Y. o: F
cacls C:\WINNT\system32\shell32.dll /e /d guests
& f# k) o% e$ z  D" J

" d- N5 J6 m! z; H
四.调用cmd.exe; B1 X+ L! }) Q* i

/ ^/ u8 e! ?" X$ \" I禁用Guests组用户调用cmd.exe命令:
8 u5 d, z* C; }" ]* p% Z$ |% x Xcacls C:\WINNT\system32\Cmd.exe /e /d guests

) i) } [& B& \: |1 }$ {

五.其它危险组件处理:9 F) W9 Q& B/ Z5 v: `* s6 J

8 b: E; \7 o* x h9 {9 ]4 J
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
2 c) z* _: ?6 }WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
& P1 m. C" A9 d- X' gWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)9 a0 _6 s% f$ Y2 B0 r

1 N( t0 M9 H. F) s9 q' Q* V
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.- `3 S4 v* W f* P) c E2 \" n5 @

PS:有时间把图加上去，或者作个教程