[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

|) v% e- C. ^3 T6 ]/ @8 m

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)) _- ]! D; t" w8 J7 H1 p
信息来源：3.A.S.T网络安全技术团队7 r: P: u5 c" `; C) R7 F3 [
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作., G8 f+ Z* I' C$ h" p
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.5 p. O; Y( j+ O9 J, C+ Z
+ ^/ f8 G, |; e; Y& _# ^2 P
一.使用FileSystemObject组件

5 m* [1 U, \6 y
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.9 `0 t8 u' F6 K: q
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
2 h  x% d( t( L) W' b3 b- P改名为其它的名字，如：改为FileSystemObject_3800* s4 Q0 w# {3 w1 Q
自己以后调用的时候使用这个就可以正常调用此组件了.& V3 p- W; y' J( u! s0 Z
2.也要将clsid值也改一下4 \6 g+ z( o% ?; F" \: X- k
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值% y$ H! t% n3 F2 b5 _! }1 b
可以将其删除，来防止此类木马的危害.5 Q' ~' E* T% n  W% E
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
3 ~- F) N3 b8 N- i如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件5 O5 ~9 j" [3 \' X
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:4 \: R- V3 z) D6 C
cacls C:\WINNT\system32\scrrun.dll /e /d guests- |5 o1 z9 Q- c% D6 ^# w

' n9 ?6 |2 N+ z* L2 s* _5 K

二.使用WScript.Shell组件

5 T2 |3 q7 k, g# P2 b- Q6 I  k1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
+ y: r& L" B* X; |! {% C7 q8 o7 M* u+ U9 k) m4 I5 B  U
HKEY_CLASSES_ROOT\WScript.Shell\; F9 `" G7 v: N4 k' f8 D8 G8 F7 D
及
$ X' O4 W0 c" G0 V& \" R. |HKEY_CLASSES_ROOT\WScript.Shell.1\4 q# r( D* h* v: g# M+ c& `- F
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
7 ^) s( o7 ?1 n" j6 O. c% W自己以后调用的时候使用这个就可以正常调用此组件了5 n: g. x- i% i7 T. G% _

  ~  J  H# {2 y$ k% k, D2.也要将clsid值也改一下2 d* U# B% |0 [
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
  H* Z9 X8 E" C* [HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值- H: _5 `, ?$ Q0 }
也可以将其删除，来防止此类木马的危害。# h! G: |# b" O$ ]

5 A' ]" z3 Q( S g. m7 P$ S1 \
三.使用Shell.Application组件" D4 m+ y8 a, U# K# s* m

: X- J% t8 c2 A$ k' K
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。, H' f# t& s" {
HKEY_CLASSES_ROOT\Shell.Application\
4 v8 a- ]' ^4 [1 O/ |及
8 w: k$ u+ z# |HKEY_CLASSES_ROOT\Shell.Application.1\
# s; k) ^2 `' Q( _" |改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName$ a9 A- H1 h$ \. t
自己以后调用的时候使用这个就可以正常调用此组件了2 q& S) a3 M! e; W
2.也要将clsid值也改一下1 ]/ {9 i' n6 D: m
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值. X# I9 X% w- C( I  a
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值* [: ^5 K0 o" ]7 Z* f
也可以将其删除，来防止此类木马的危害。, U( e8 O  ~4 N( }1 G6 r% z3 p8 J
! B  Q6 Z8 f) j! f) H8 W
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
& M$ @  k! A3 }: N& }$ }8 j( ncacls C:\WINNT\system32\shell32.dll /e /d guests
) |- z3 N/ X6 G# R) o8 o

四.调用cmd.exe

& x6 o; B- Q/ `
禁用Guests组用户调用cmd.exe命令:
cacls C:\WINNT\system32\Cmd.exe /e /d guests
+ q) G/ o8 z6 f% Y

$ D2 q; ]9 L, [

五.其它危险组件处理:. o7 N4 X. l" n }: p' \

6 @! y+ V' Z" wAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
( q0 N& o+ R' i( W8 ?6 M' bWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
D {$ K+ P% a; f; OWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
' ]; [$ A( r7 G$ H7 D$ f* [

) K w2 w4 w, s3 J* Q
" k" |: E( ~. B
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.8 b6 c" J# V9 a' c1 x* L
* U2 N9 X {. g
PS:有时间把图加上去，或者作个教程