[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)+ y* e& k' ~; p4 z$ R2 }
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.- ^+ a- o. N5 H; p* F7 ~
Shell.Application组件--可以调用系统内核运行DOS基本命令.
. c) {1 D0 s. n0 M$ U1 X6 H
一.使用FileSystemObject组件- Y7 P$ \$ e p# T* ?& a

5 O; ?8 \- I7 _5 [: y+ w1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.( j# x5 [  S; {; A) f: t
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\8 J1 J6 P  e$ y; `2 P  B* C/ r
改名为其它的名字，如：改为FileSystemObject_3800
5 o7 m* l) }# h" ?* O" E; N) _自己以后调用的时候使用这个就可以正常调用此组件了.: i+ i5 V1 G; a8 v
2.也要将clsid值也改一下
. d# m1 _2 y* t! YHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
! a: G6 {4 X; O4 W0 d( X$ ?可以将其删除，来防止此类木马的危害.% n  @! t, \) a! p" w2 }/ |
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  7 E, f  h5 S# p' M' i5 f
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件) U3 o' G, h- E& ?1 w6 g! Q
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
" e+ q. ?: T( S. e- u. [cacls C:\WINNT\system32\scrrun.dll /e /d guests
9 t8 q, _) t0 T6 _

8 L" E) ` W' Q) o( W! s( _
二.使用WScript.Shell组件, i% s& N0 _3 J- v

) I6 d  H. x6 D, V% F  v' G4 [1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
0 {, F0 T+ E2 _0 v0 [! Z% t
7 C2 x0 d# a/ F+ ]8 l; hHKEY_CLASSES_ROOT\WScript.Shell\; K  e; h( \$ x
及
- c- e! g. H) V& E8 D: @  [$ z# RHKEY_CLASSES_ROOT\WScript.Shell.1\( s0 D: \1 P+ Y/ j
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc# ?/ [. h, |- E( A$ ]- W
自己以后调用的时候使用这个就可以正常调用此组件了
( x5 e& ?  n$ a4 p
8 o: x7 W0 W% C& C0 r/ Q7 T( r1 E2.也要将clsid值也改一下
* @# w& U: Q& d: B; R2 V0 }7 W; |' }HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值5 ^; l# p. q! v- ~* r
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值" M& H: u: u3 ]/ @( f
也可以将其删除，来防止此类木马的危害。, E" f; O" }8 B! i

; f4 u" K- G: j. s5 E( x; o. y
三.使用Shell.Application组件# P X1 D4 S9 Q

/ n. G7 \' E4 D* p1 M5 c* }
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
- P! X. g0 ?' z7 CHKEY_CLASSES_ROOT\Shell.Application\
; q2 h; J+ r: R+ r' M5 A0 I0 ^/ o及
1 `- b3 M+ `7 K5 dHKEY_CLASSES_ROOT\Shell.Application.1\
7 Z3 j7 ?# \+ W5 v# y8 U/ B改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName7 J+ X' A3 E3 `
自己以后调用的时候使用这个就可以正常调用此组件了0 N! x1 s) [$ @2 s( w7 [9 b
2.也要将clsid值也改一下* ?7 I# {& E. t$ R1 s% u! T
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值+ W8 ? r6 Q* y
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值* D7 o/ r. y; H: m
也可以将其删除，来防止此类木马的危害。
' B8 ^8 p% I7 o0 {9 g, j1 I, c; R4 @+ G& f
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
, E9 u+ p7 t( b* u! }: J& Gcacls C:\WINNT\system32\shell32.dll /e /d guests
& H& Y) u3 ?* x' y- _

: G; A/ X9 I6 c% v0 `
四.调用cmd.exe

M$ u! t/ W! A; w) J1 k禁用Guests组用户调用cmd.exe命令:
4 X$ G/ @! ]9 K9 k |0 \( Ncacls C:\WINNT\system32\Cmd.exe /e /d guests
; G/ i8 G' e& o, B& E2 d

& {6 b; Q+ |; T& _
五.其它危险组件处理:, b+ w: m" D8 H, q6 n' F# I4 f

; B9 P1 }. j" P( r! }6 T- gAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
@+ K, x- U9 O# e+ NWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)$ z1 |" Q4 Z! @- s
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
7 Z W% O, Q; Q4 _! O# y/ z

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程