[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

) D. O9 y9 g& `3 K, V# ?

( R/ Q9 R4 }( m/ h+ g: P9 \原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)# K) {' b" }& v9 ^; v7 T% m
信息来源：3.A.S.T网络安全技术团队& Z8 d0 W/ L1 G+ V' s
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
1 Q) y8 I( Z" l6 SFileSystemObject组件---对文件进行常规操作.
; r# ?& m' L* O- n9 _7 o- d# K' JWScript.Shell组件---可以调用系统内核运行DOS基本命令.
; S- g) U8 O# \" jShell.Application组件--可以调用系统内核运行DOS基本命令.
0 X8 C' C8 u/ }& E5 A/ k! U; U, ^& g( ]* S3 j
一.使用FileSystemObject组件
2 Z3 A$ P/ L5 x

3 X" K5 C* j! N% H: r
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
0 o  s) O. k( _2 {% BHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
' l/ n  r9 h+ P改名为其它的名字，如：改为FileSystemObject_3800
  k! M+ m+ E+ K4 Z; D; S( A; M自己以后调用的时候使用这个就可以正常调用此组件了.
# r6 c) P7 Y- r+ X; N/ ?' {2.也要将clsid值也改一下2 I" [' m; X" E3 i: A- K' H
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
# r/ w/ T: H1 u) h可以将其删除，来防止此类木马的危害.
/ H- W- J" h; [0 v! t/ B" }3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  : P6 f: O( f! M( \) U
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
' `* w% ]8 I3 J: T4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:2 |+ q9 B4 t" q! W3 w# p1 |
cacls C:\WINNT\system32\scrrun.dll /e /d guests- l# d& e' I$ t

) l# V/ r2 m! }4 x
6 [: K' r- Z8 ?. I! {1 |
二.使用WScript.Shell组件  H. y' \) p+ `( k

, i& j% j- b7 i$ u. T8 g1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
6 r# p4 J' i2 L! G4 o7 ~1 O% F5 n2 Y; d+ u; |9 Z0 _
HKEY_CLASSES_ROOT\WScript.Shell\
* U4 P/ l% n' z/ K  J及3 @  |6 d# o& c- p- u8 V: s
HKEY_CLASSES_ROOT\WScript.Shell.1\
- g) N; H% A3 {: Z% P: Y5 X改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
( d1 b5 }- C) i! d. V  q. \自己以后调用的时候使用这个就可以正常调用此组件了
4 W8 Q/ F4 ~& ]  e5 k4 B5 b! \% R0 D( Z1 }2 A. v/ H4 U. H
2.也要将clsid值也改一下6 K" j" O& Q3 b2 k
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
$ l" T0 G2 T1 c  _$ z4 \) B- RHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
6 p  l$ q! x, b6 h3 a也可以将其删除，来防止此类木马的危害。( l0 i  |4 a# r; n2 J/ m3 I

/ _5 I: Y' U1 t* z+ V+ G1 g
三.使用Shell.Application组件
. a  x/ a% g0 f5 ^1 R

9 b% Q4 t7 S4 G5 {$ H) H1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
% e' d6 ], Y/ w; a' QHKEY_CLASSES_ROOT\Shell.Application\" [' O8 e* v& G3 d* ~. a% S$ w
及
% S' a9 K+ t9 gHKEY_CLASSES_ROOT\Shell.Application.1\
8 S6 K, \  S/ q" f改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName* z$ F8 f1 O* S1 w$ J
自己以后调用的时候使用这个就可以正常调用此组件了
0 L) ^. W9 g, U& ^+ v2.也要将clsid值也改一下1 Q; p& Q7 Z$ H
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
/ r  p; j) T4 ?* oHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
" Z2 c3 w% b7 W# U$ a也可以将其删除，来防止此类木马的危害。
3 _/ s2 |" A5 u$ U/ F5 z) H! q- H1 o. a0 f& c3 ]# X
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:# O9 m: b7 _) s
cacls C:\WINNT\system32\shell32.dll /e /d guests
, o) V7 F. G  ~) f6 Z9 m

9 m, [/ x4 r$ ^: q7 F# |四.调用cmd.exe
( o0 \) e. l% A! Y, X5 w$ V4 U1 @- l2 s0 D

! A5 B. F3 Q: _' J: q/ D$ s
禁用Guests组用户调用cmd.exe命令:4 K7 `" s. B) T* a
cacls C:\WINNT\system32\Cmd.exe /e /d guests
  w+ B! F; a+ Q8 U3 ?

0 m3 |" Q2 u6 I4 |- N# D7 G; L2 k6 r
五.其它危险组件处理:) l8 V, o$ q5 u8 w4 G3 b# e

  L$ v9 `" h5 z4 Y- EAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) : Y* ?+ a+ P2 j1 z1 {1 u# `
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)# H9 H% ]3 o+ B( p
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
( C- t# l4 c! M  r& Q

1 _. M; i/ X" D5 n! S
* E" R+ t2 c, x! y按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.( K/ R3 p* k9 G- u  Y
3 X% Z3 ~2 o. \6 G9 Z5 C) n
PS:有时间把图加上去，或者作个教程

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断

我本机测试了下
% x( Q2 W5 Z) Z+ ~" L; M6 A/ E; {7 H6 S  w, M
如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

有控发点图上来对比下

猪猪

哦 学习了  知己知彼方能。。。。:)

paomo86

学习了……:D

小雄

发点图比较容易吸收。。:lol    不过这样也行。

在意z

谢谢楼主分享技术。。