[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

; K% X8 X5 g! ]+ ^9 {

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.8 N6 W: y. b j: f; t
FileSystemObject组件---对文件进行常规操作.8 T' Q$ r* O: }9 ?6 w+ G+ A) a
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令." p' h) `! o+ C

一.使用FileSystemObject组件 B6 _! O' r: H; u. M, u9 _/ t

; i8 K7 A) u3 K4 K. s1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.$ j3 X. e. }7 S
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
% i8 e! J. r) H- ?% b改名为其它的名字，如：改为FileSystemObject_3800
; i! r. M1 t0 l" @自己以后调用的时候使用这个就可以正常调用此组件了.! {( n$ H( L( |* s$ x& R# t5 b
2.也要将clsid值也改一下7 t: }9 D: K7 u5 u. P- c, L
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值* s+ \+ _- G+ b* C6 @2 P9 J4 J
可以将其删除，来防止此类木马的危害.5 T3 X6 t% |2 x3 n2 J
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
9 W* c) L1 h7 U- ]如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
# r. _. ^7 [) b& N8 C. n4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
+ ?: ]) q& |0 a/ g. E8 Y- _4 ecacls C:\WINNT\system32\scrrun.dll /e /d guests" n( f) W. F% p: j

- l7 w% y. [/ j2 F. f0 r

二.使用WScript.Shell组件

' b5 Z/ n; R" t( s
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害." I) K4 z1 ~$ a8 @+ ?5 {# P

- O9 k" x5 D5 V! vHKEY_CLASSES_ROOT\WScript.Shell\# B) l0 l8 q# y! }
及# x. W% o) H: j
HKEY_CLASSES_ROOT\WScript.Shell.1\
- ^: d7 A1 n' n! V( ^3 M0 ?# X改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc( c" q j6 I1 |3 i1 a; n. a
自己以后调用的时候使用这个就可以正常调用此组件了
+ q$ l# s/ @/ k/ y
0 @. n3 @# Q2 Z8 V; \, }2 G2 Y1 Q2.也要将clsid值也改一下$ O9 q, a( u% b- Z. N# f
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值8 D5 A5 }% ^8 S# \5 K% f
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
3 L6 d4 h+ b; L/ X- v! n1 }也可以将其删除，来防止此类木马的危害。0 F. b, j; `; ]1 G. d/ s, i6 k i0 J

4 p/ A' D/ @& w# y6 v- s
三.使用Shell.Application组件

) z7 V5 P) c- Q" N% r3 a$ i1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
7 S9 Y' n/ J, r3 N: f: {1 v) ZHKEY_CLASSES_ROOT\Shell.Application\( I4 N& ~+ O! _5 c7 H% b# O
及
% M& x: v+ d2 `9 fHKEY_CLASSES_ROOT\Shell.Application.1\
' _8 ^. d! ]0 j+ Q1 J3 `& t改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
, m" S6 y+ W1 f; ^& b6 V; U自己以后调用的时候使用这个就可以正常调用此组件了4 K& d+ P: f7 z3 p; ~8 C
2.也要将clsid值也改一下9 K. [! z2 A) u# Y- g8 I- ~4 u+ O4 V
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值( E8 Z& L% M; l% C- z" g
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值% J% t2 r D( H8 g) r
也可以将其删除，来防止此类木马的危害。: z9 x% c0 W- F7 v
8 [( _9 i/ n! c' w! D# N
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
9 m/ V4 u! i$ x5 N: v! A M& Xcacls C:\WINNT\system32\shell32.dll /e /d guests9 M: L5 ?2 J9 x$ B1 Q4 }1 u

四.调用cmd.exe& O5 L, E2 |, R

- i( E6 L3 g& ]' e
禁用Guests组用户调用cmd.exe命令:6 t/ T( t" ~: ], S7 w
cacls C:\WINNT\system32\Cmd.exe /e /d guests& ]. I3 A! x. B+ H

9 k( [9 |9 b0 B7 Z- M" }, n' d* Z
. C5 ]. @2 c1 q' r
五.其它危险组件处理:

0 V6 Q0 S& u% J$ ~- |; ?Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) & v: E) M7 P4 J' z @1 s7 ~
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
0 a4 L9 N# h) L: @WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
. I' `# W0 h9 c$ P

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程