[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

, F3 e: `# ^4 D% g9 P

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队& |8 M/ A" j& R: e3 ~- z5 J5 s
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.. q' Q: Z4 e# n9 x( Q
FileSystemObject组件---对文件进行常规操作.' k8 L4 a+ p5 O- ?, @# `, R2 d
WScript.Shell组件---可以调用系统内核运行DOS基本命令./ F4 N- l7 f7 [' I4 f: W8 ?
Shell.Application组件--可以调用系统内核运行DOS基本命令.
2 y0 [/ Q: o& K" q. Y( ^
一.使用FileSystemObject组件& `( b5 y8 S; G2 v R; s5 ?

- K4 }* Z" S0 m9 J  ~4 l0 {: V0 t1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.0 I' t* ~* w/ b6 y9 T
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
  a0 e! I1 [" M& ?0 q) m- n改名为其它的名字，如：改为FileSystemObject_38005 g9 P( `* [* x" u9 [6 q
自己以后调用的时候使用这个就可以正常调用此组件了.; [% Q* K) ~9 E/ J# X
2.也要将clsid值也改一下
7 H- x' m: L$ [. J  _HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值" B7 F% l! D0 Y$ x; `( O
可以将其删除，来防止此类木马的危害.
: F, q% J" Q9 T" y/ H3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  ' N8 K1 S" l5 ]0 X
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件  C; D) j) ?5 ]" m- N# D7 j
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
1 U' d* n9 U$ o8 e' gcacls C:\WINNT\system32\scrrun.dll /e /d guests
* Y: i" w7 h" H8 Y$ a

0 W& X3 t/ C1 d Q
二.使用WScript.Shell组件1 C, v6 u' }8 N* V3 y1 e

+ s) a! Q: l  `0 u* C) n3 ^1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.3 ^* [7 R4 J. L" X9 Q6 W; ]

% k# m" {, K5 ^# B& ]7 MHKEY_CLASSES_ROOT\WScript.Shell\
+ R' U; `+ n9 M" O8 ^" D, U3 E及: }: q" s5 e1 x$ N
HKEY_CLASSES_ROOT\WScript.Shell.1\
  g% {4 ^+ F$ `' z% j$ _7 B- S改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc# u- ~& l' [  P7 h" ?6 V3 X
自己以后调用的时候使用这个就可以正常调用此组件了! M7 Y0 y2 W! S

& Z  I6 k" z: w7 _2.也要将clsid值也改一下
8 t, [8 X8 ~( o3 @) f8 y' A- k7 t1 pHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值! d+ p! p+ W% c; I
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值: D% j% e2 G6 O
也可以将其删除，来防止此类木马的危害。* b4 ^- c2 l8 f8 ?& \& E

+ `) @+ u( Q# ^& `& I
三.使用Shell.Application组件' [$ u8 ]9 z# c0 o. v

$ ^4 B) V8 `( d$ ` a2 L5 T! B/ L1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。3 B1 e8 Z0 a. c- n
HKEY_CLASSES_ROOT\Shell.Application\. Y3 T0 `, \; s2 ]# u8 M
及
2 ]' q) k( O' J- S: J; aHKEY_CLASSES_ROOT\Shell.Application.1\+ g8 h) W, F/ V6 S1 A
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName& u9 k. }8 i+ Q0 r2 C7 |
自己以后调用的时候使用这个就可以正常调用此组件了
% e) c" ]) X4 n4 ^) _# D2.也要将clsid值也改一下
7 U4 T6 K" U( `HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值: Z7 z) F% N. d5 S) [
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值" I9 a' Q- ~+ ]% a5 |2 P6 n
也可以将其删除，来防止此类木马的危害。
5 r& _8 g7 J& O U& U" B8 t/ V" h# X& \! C
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:! f+ ?; u+ E: q# ~- J! z
cacls C:\WINNT\system32\shell32.dll /e /d guests
* g- J9 l1 _( C; V

' w3 D! {8 q$ Q8 ^0 J
四.调用cmd.exe

$ ?: h) T! k! G禁用Guests组用户调用cmd.exe命令:) ]6 f4 F- c* h+ Z2 n
cacls C:\WINNT\system32\Cmd.exe /e /d guests* E* \# l$ U, Y* j# h0 f

' Y, @% E/ F# o8 U# H1 m5 a
/ v" b b0 ~" A) y% z/ ~, y
五.其它危险组件处理:5 ~* S9 J7 b7 g& S. M9 T# S. E

1 j- {; F3 e8 \- b
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) * K/ @+ F/ ?. A1 ?6 z
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
- C- j$ v2 E7 e# Y* N0 l- V4 nWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)9 Z6 J. J& ^; k, ^. Y) v: I

( X& c- ^# T7 [* z

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
, |% M! s8 g" {' y3 v% ^
PS:有时间把图加上去，或者作个教程