[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

+ W& j3 m# w( I+ u

2 A( K4 ^' G5 v( ?/ s# t& d原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
: E" c! _2 H8 j/ l- H% y* j- L信息来源：3.A.S.T网络安全技术团队
1 v0 a- B; `! ]% x8 q) A防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
- U- q' J& I' R6 m; K% s- `6 H+ BFileSystemObject组件---对文件进行常规操作.  p: J. }6 A- |2 Y
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
! D# @/ P" s' yShell.Application组件--可以调用系统内核运行DOS基本命令.
& V4 r$ ?$ A1 Q7 y1 k2 P4 e
0 D! l) F6 Z/ M# H一.使用FileSystemObject组件
, p3 m( j1 p6 f. Z' j! ]

. }; }( C/ y4 \' A$ t5 d/ c1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.1 V0 |2 M; _6 b4 a, E5 S, \; r
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
( k4 v$ C. n! M; G8 Z改名为其它的名字，如：改为FileSystemObject_3800
. a; Y6 X3 ]* f& n自己以后调用的时候使用这个就可以正常调用此组件了.7 x( }& s5 R. ]1 V
2.也要将clsid值也改一下) h9 _6 X5 z$ D  V" `- h) Z' @1 @
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
9 s( E  w+ Z2 g8 [0 u) d可以将其删除，来防止此类木马的危害.
# d: j; ^1 ~$ \3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
9 |! q0 r8 ?( U8 v$ r8 @- m如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
$ o8 _) a9 `6 P; ^) J1 ^4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
4 n+ F! n7 V5 a& O& jcacls C:\WINNT\system32\scrrun.dll /e /d guests
( H: `! w  B9 R' l

) r& B. s  s& R* e. \. ]+ J4 {+ D6 p+ \' L% C3 X
二.使用WScript.Shell组件
8 l" l/ O; t+ {3 J* k

) D6 q& x+ S5 X% s
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
% z' d4 |& I9 I/ c
# \+ G0 r/ B' ]$ A2 vHKEY_CLASSES_ROOT\WScript.Shell\; a2 W, v+ |# z* R4 f  q+ C
及
9 E& D4 \6 ]" v. M0 @HKEY_CLASSES_ROOT\WScript.Shell.1\( o+ r( X2 Y2 Y* `" o* A7 Y' S* q; v
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
+ q: W: W- q7 }) H# ]自己以后调用的时候使用这个就可以正常调用此组件了
! R, y) Y  q  n3 l' G9 z' ~2 {/ W* N2 G2 h2 X
2.也要将clsid值也改一下" u* j8 L9 g1 R* P
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
: {1 r. ^8 V6 s7 s. @- R* THKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
7 G+ o6 O+ C" b" p也可以将其删除，来防止此类木马的危害。1 ?1 p0 h3 c! r9 }$ l& m* J- S* M

) T1 B9 b$ c0 Q* u; F1 ?* M三.使用Shell.Application组件! \7 |0 S5 G- R$ d

+ i- G) J& l/ y) |9 l; e: k
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
6 \7 M4 X$ L- V$ b/ R, GHKEY_CLASSES_ROOT\Shell.Application\7 x8 {. ?+ Q  o
及
& W8 R" c9 t, k6 U1 R' fHKEY_CLASSES_ROOT\Shell.Application.1\% ^: t4 s* j, Y; k5 S% ]9 O
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
, I0 ^. D" V) c. O4 Y; r2 ]自己以后调用的时候使用这个就可以正常调用此组件了. P  E6 {0 _( [8 ]  r5 E. k
2.也要将clsid值也改一下! b$ i' v& [, u% `4 X
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值  f& R/ b* _& @9 `
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值6 @( D6 n+ a- z1 e% o
也可以将其删除，来防止此类木马的危害。
- J6 U. d$ O- K) ^' @! a; y
. h. I5 e; ~) A/ |7 R3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
6 }2 p4 y2 i9 W1 Qcacls C:\WINNT\system32\shell32.dll /e /d guests. T4 r& h! l# R4 h: Q

8 J- f3 |* H- V( a5 g8 M
四.调用cmd.exe
7 F2 b5 z5 o- t/ o

! h4 q" M" a' x, P+ _  S
禁用Guests组用户调用cmd.exe命令:/ x, Z$ v8 q& a
cacls C:\WINNT\system32\Cmd.exe /e /d guests
. [2 ]$ z6 }# |7 j  W

6 \3 n6 v  @2 U, X/ I. t; P& y
% {, {: \8 O& r五.其它危险组件处理:1 v4 Q# H3 S8 s, ?1 c" w

5 N" m5 B7 S( W
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 1 a0 \1 s4 B2 F, w
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)- u! N7 w4 G, e4 a: x; L& ^
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)0 R% f0 l7 Q! m- N+ G- }$ l  J' s

$ K+ @4 M* l; w5 F% i. Z- c& s! K: i( e# S6 Z; a1 |4 B
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
/ S4 S# x+ J' M# R# C* i
& O! a! p# T2 o* VPS:有时间把图加上去，或者作个教程

柔肠寸断

我本机测试了下! I) B- E( U0 T, W" f2 M% u$ N

6 V) V% Y$ L4 t- z; x' t3 _如果更改了相应的组件之后，ASP木马就完全打不开了