[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

- k- b% @, A; u1 [( A6 m0 K
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.' h6 T; w1 a1 Y$ l$ K l! f/ G
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.7 Y) F+ J7 M; U# q, H
Shell.Application组件--可以调用系统内核运行DOS基本命令.# j4 U# X9 q5 P

一.使用FileSystemObject组件, W; A* A4 Q/ P6 }0 I' K

/ m& \, q; y0 z) t8 Z. i7 V
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.1 n1 Z* j% g: w" j$ B
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
, w5 C9 R% \7 O% P' ?改名为其它的名字，如：改为FileSystemObject_3800
2 x* S6 H8 ^  d4 R: ]自己以后调用的时候使用这个就可以正常调用此组件了.% r3 w" z' M0 i/ m' ], ^
2.也要将clsid值也改一下
" Z+ L, k; G! w+ eHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值2 g, {  \0 c5 D( a. o4 m
可以将其删除，来防止此类木马的危害." ~) B# j" `* z) P
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2 o! q2 a0 [* k如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件2 \7 i5 I) |9 J2 x3 W
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
( k) K: M$ D* W( C/ X; J  r3 d, [cacls C:\WINNT\system32\scrrun.dll /e /d guests: k0 O/ h! J* p8 E

* o- X7 }# v2 ]* f0 i/ t

二.使用WScript.Shell组件

/ v; g  s9 W, n
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.. ]# B+ D/ h3 z$ @

1 F* J1 r5 p4 i" M7 |& {# QHKEY_CLASSES_ROOT\WScript.Shell\
. [/ O. ^. S; F. H2 u3 @及$ a1 f" L$ O4 w8 E9 e
HKEY_CLASSES_ROOT\WScript.Shell.1\
* I8 F# U) e2 O1 G+ v* B% M改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc! D5 B% F. w6 G8 J
自己以后调用的时候使用这个就可以正常调用此组件了( l. v+ q9 [& x  v) q  P& x
+ d$ `; }# k" m: A  J! m
2.也要将clsid值也改一下
- y) A7 U2 C" W# {6 p+ dHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值' R! T, r$ ^9 O' E3 b# e1 N
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值3 s. m! j5 s' v' i
也可以将其删除，来防止此类木马的危害。
* |! ^8 `6 Y- q  Q8 S/ n1 M

三.使用Shell.Application组件9 J4 f6 O) A; t6 [

7 U" h' y/ ~8 s: D1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。8 j7 C1 e% {$ k9 D
HKEY_CLASSES_ROOT\Shell.Application\* |2 P3 T6 F& [! @
及; b) |& k' Q9 c3 L, D& y7 N
HKEY_CLASSES_ROOT\Shell.Application.1\' ]6 Q5 l- c' g: D
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName) p3 v/ N' ?5 u( j8 }" V$ O
自己以后调用的时候使用这个就可以正常调用此组件了
/ O# U4 P9 }# m; a2.也要将clsid值也改一下 t' l% a _6 D( u& A* I
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值/ T' R7 `! F4 n
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值$ G# U9 k& ^. @
也可以将其删除，来防止此类木马的危害。* B7 k* |; a% L
* ]/ z5 A" S8 Z8 Q- O9 Z0 C
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
/ {6 q) h5 N8 \8 ]$ ncacls C:\WINNT\system32\shell32.dll /e /d guests
. P/ g& f. x+ i. X; q8 `

四.调用cmd.exe0 h$ x; l/ d7 I- w- h* n' v* M' ?7 y

' A2 L! Q& B7 Y禁用Guests组用户调用cmd.exe命令:
: ]/ n6 e6 {7 M5 E4 p3 hcacls C:\WINNT\system32\Cmd.exe /e /d guests8 l# X0 o! s' S+ Q

+ O% L. x3 q; D9 P" {, G

五.其它危险组件处理:+ E! C, L1 E6 O* G2 c( E" e4 j' x( K

' R8 v) m( V# A/ uAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 9 B$ D1 h" |& ~3 Z! W1 j
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
- C0 e I" v; A- D& Z5 F zWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)8 s/ {2 E" z5 y1 P' o& ?

9 c( t8 X' D5 P) W- A, a

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.& `; Z" {/ G/ {( }
8 ~& `4 d0 `0 I y& K$ n
PS:有时间把图加上去，或者作个教程