[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

: _( \3 l; _ f- K

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)5 b8 ^) `; z' Z
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.2 z ]: ?8 L! n/ Z9 E
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令., R! Y1 l( I' r/ o

一.使用FileSystemObject组件

, N$ N+ Z- w- V9 z5 C- D9 P! N
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
, `$ y2 U# ]3 C+ n6 {/ FHKEY_CLASSES_ROOT\Scripting.FileSystemObject\' M% Z& \) s: {% h3 b" I: j6 O
改名为其它的名字，如：改为FileSystemObject_3800
1 N, l: [& c6 Q. }+ C自己以后调用的时候使用这个就可以正常调用此组件了.
* ?# K1 ]+ o4 s' E2.也要将clsid值也改一下) A5 y1 h+ j0 G9 p8 t, P% p4 v
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
" c- v5 k& n; b% _2 X4 p' R可以将其删除，来防止此类木马的危害.
* N/ Y& u( j, Y7 M3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 9 ~0 ?- ]! t: a; Y8 ?3 ], N( I
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件" j* G# P5 y7 Y J3 w5 S
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:) G5 V7 z5 v/ Y. x; H1 O
cacls C:\WINNT\system32\scrrun.dll /e /d guests( `" h3 Y+ V. r! y" P

* q% w+ I. W, e
二.使用WScript.Shell组件

  R$ s1 c9 D. G9 O0 g- J/ r0 R6 l1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.5 \9 @8 Y. G; p7 N

% i, H, S* v5 K9 h, PHKEY_CLASSES_ROOT\WScript.Shell\
. F3 m/ I3 C5 m及
$ j9 D6 b$ Y% HHKEY_CLASSES_ROOT\WScript.Shell.1\: r+ J; h+ K, P' L7 L
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
9 r* w) B- }: b1 [6 @自己以后调用的时候使用这个就可以正常调用此组件了) A$ `' ^" K# ?

) B' x! c5 s3 v2.也要将clsid值也改一下) m/ ]7 @) f0 Q; C5 E
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
4 u) F  |$ h# k7 ]HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
2 L6 f" F6 k2 T' K也可以将其删除，来防止此类木马的危害。
- D7 q, w  f# t* [( Y/ V* Q1 C

' {7 q; e9 `% q! Q
三.使用Shell.Application组件7 r& H8 X; T# V2 R! `8 \% R' L6 t1 U

/ G5 f6 `2 r3 e! P7 k, G( b1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。+ {. V) [6 }8 ]4 o+ F
HKEY_CLASSES_ROOT\Shell.Application\
% q4 b* r2 ]/ I2 g5 V  h1 G及+ E; r% g. o" ]7 ]; Y
HKEY_CLASSES_ROOT\Shell.Application.1\/ `% S; `  C/ ]7 O) q
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName5 d( Z% Q& y0 n0 ^9 |
自己以后调用的时候使用这个就可以正常调用此组件了
" r' [0 }) l$ H6 U8 v6 U# ^* ?6 |2.也要将clsid值也改一下5 ^) q+ h# v3 s
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值" R% g: t  e1 z& F
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
( Z/ m7 X5 f: s7 B2 |+ Y也可以将其删除，来防止此类木马的危害。3 Q# {2 e" l% Q3 |( \. d# O
; T, X- W: i; `# g0 l/ `
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:0 \% V( H& l8 W. g+ w1 u
cacls C:\WINNT\system32\shell32.dll /e /d guests
, j8 W2 l) j! o8 X+ K* y

) p5 U- Q& C/ A
四.调用cmd.exe

2 e2 K+ V9 X0 ^1 ^$ I. R7 P禁用Guests组用户调用cmd.exe命令:
/ Y3 y f( J& s2 Ncacls C:\WINNT\system32\Cmd.exe /e /d guests
, [7 Y# p3 O3 T9 l$ K4 M$ z9 c

. J {5 ?8 G$ A' G8 O7 o8 ], c
五.其它危险组件处理:

/ ~8 ?+ i, f# u! B! r* q1 H- f- ~# OAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
2 D% h" _% o9 I, j LWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
- S/ e: h. h& E% O% R |WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
! w: h" T/ L; W4 c5 g* ]

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
7 u0 K, ?, ~/ M" G+ @7 }6 b
PS:有时间把图加上去，或者作个教程