[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

9 m' N' O% N+ B' R! O# L
1 W: ?: i* v- h. |8 C原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)+ x( W+ `( e3 z
信息来源：3.A.S.T网络安全技术团队
1 N1 ?6 P7 Q$ c! M! Z防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.1 P: t7 c" r# N# O( N
FileSystemObject组件---对文件进行常规操作.# V* B' ^* Q% i0 H, x) G4 \
WScript.Shell组件---可以调用系统内核运行DOS基本命令.3 r  U* ~% T" q' l' q/ {
Shell.Application组件--可以调用系统内核运行DOS基本命令.
. Q2 c" ]; l! \; b: d0 C$ L7 e9 [1 b3 e1 J* f
一.使用FileSystemObject组件
+ @1 ^0 C4 l5 ^  r# ?/ N

7 Q2 r. ~+ q  }# D  o% _
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害./ F2 Z, J3 J. M" @) r
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
% k  e/ h8 U9 b9 r$ e改名为其它的名字，如：改为FileSystemObject_3800
6 I& l8 j6 w2 \- f: @自己以后调用的时候使用这个就可以正常调用此组件了.
& E) s/ d9 f3 H' A' Y2.也要将clsid值也改一下  U# ~+ i2 D% f4 T( u( t
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值% S9 H% K: D, X6 s9 d4 M: b1 t
可以将其删除，来防止此类木马的危害.
& N1 U5 b  M, m8 |3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
1 E% ]0 i1 [+ N如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
' G6 n& V5 [5 Z+ Q4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:6 t' K4 J+ h/ I' H2 I
cacls C:\WINNT\system32\scrrun.dll /e /d guests
& [" G8 n1 l% _  t/ `

- G- Y3 B. ?) }
' \9 h; y9 q' C( V  u二.使用WScript.Shell组件1 d. X2 z% c4 Z1 e1 S/ v( S

2 S7 @, y% i" `2 w& D. p. Y: W% v; L1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.  a2 N% m% Y8 F: z+ o3 W
% I4 M& }% v* W' v+ E
HKEY_CLASSES_ROOT\WScript.Shell\# h- ~1 K/ b' [) q' M
及
$ s: D. k) _$ J7 @HKEY_CLASSES_ROOT\WScript.Shell.1\/ ^9 V7 R" \; Q% w
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc5 j  e  P2 y- {9 a' D  Z
自己以后调用的时候使用这个就可以正常调用此组件了
' z3 }, e2 ]1 X
7 {  x/ m+ J6 S2 E$ e4 Z2.也要将clsid值也改一下
  ?$ V( W- [2 L. p5 ~3 UHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值! J6 ^3 Y6 N$ i6 c4 c- j8 Y
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
: o# I; i4 U1 j0 ~7 o% u4 o也可以将其删除，来防止此类木马的危害。
9 F3 Y) n1 T, a% M6 j

! B& b$ Z% A' Q  Q, ^
三.使用Shell.Application组件5 W& o6 L4 s$ U% E

! ^! h' x6 H, [$ E1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
- J( w, C) ]7 f; E# N2 |HKEY_CLASSES_ROOT\Shell.Application\
. W% R5 E, i# X1 s$ |, O及6 K& E  D8 h9 }5 J$ t9 g
HKEY_CLASSES_ROOT\Shell.Application.1\
6 M& b5 M% l6 c1 K* b改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
. \; Z! ^. B0 G5 H! O( o- I0 u自己以后调用的时候使用这个就可以正常调用此组件了8 a; f6 T0 g8 Q( b" V0 x7 L
2.也要将clsid值也改一下
: K) Z# p# a4 g3 s- W. w8 qHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值' A8 _( y/ d* H1 w0 I9 r6 R, T* L
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
& U) L+ Q4 i0 U% b3 G  r7 {/ @也可以将其删除，来防止此类木马的危害。# \' o# w  D5 G! ]
  B/ X. F0 b5 q5 Y! }# Z# S
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:) G4 [: p  Z$ |' B% z& c
cacls C:\WINNT\system32\shell32.dll /e /d guests
3 O9 ]6 E0 U" f

4 R& q$ _- m% a: S5 r  W  T' p四.调用cmd.exe
% E, ~/ j* k6 O* g

" i  d: m: V% a  A" a9 f( I: g禁用Guests组用户调用cmd.exe命令:3 u5 l8 v& _, E* p8 O
cacls C:\WINNT\system32\Cmd.exe /e /d guests
8 T. n  ?: m, [, K0 t" ^; I

  ^7 B) x! m' N
3 Q0 Z5 {" |+ i' c3 z: ~- i/ `7 y! e五.其它危险组件处理:
9 B0 C! d2 K2 i3 S

& @1 q3 [* H$ M' t' JAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})   ^+ y( J% _$ O7 p+ X0 ^6 C) ?* P; h8 q
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)8 j( j9 z) |' p
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
% T7 Y3 ~; \* p# a& D* e1 m7 c

3 I7 Z' d9 Q# _2 o& V. t% F5 ]

- f& D+ x1 q# b0 f& E按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
. l+ N' U: A2 W, R8 D1 B/ ^) h/ R; W: x- a( V" c3 y
PS:有时间把图加上去，或者作个教程

在意z

谢谢楼主分享技术。。

小雄

发点图比较容易吸收。。:lol    不过这样也行。

paomo86

学习了……:D

猪猪

哦 学习了  知己知彼方能。。。。:)

saitojie

有控发点图上来对比下

柔肠寸断

我本机测试了下3 M2 i8 g# k0 c; e# j

6 m5 O& J& U# T6 M4 m- k. S- d如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！