[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

, t6 i& \, H8 |9 [2 t/ j( u
& z1 u; {4 U4 h) r, L" f6 Q) E原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
2 O6 t) Y) y8 a9 D信息来源：3.A.S.T网络安全技术团队
2 S' ^7 N* {! X5 j防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
# l  u5 l8 C3 N. i& wFileSystemObject组件---对文件进行常规操作.' S5 L$ K) d% {+ S
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
) Y* O) q" M& c0 B5 M0 iShell.Application组件--可以调用系统内核运行DOS基本命令.. G# R& o2 Y6 U, x1 t

1 S: w* ~# d! g一.使用FileSystemObject组件
& E  L) J8 S, |2 e9 K2 x

$ f) |1 \6 F9 b1 |! B
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
+ b! ]/ Q8 h6 V& j$ v/ f9 Q+ JHKEY_CLASSES_ROOT\Scripting.FileSystemObject\$ ^4 D2 W+ x: Z! D! K
改名为其它的名字，如：改为FileSystemObject_3800
1 y/ E. a2 e$ z4 u) R+ _自己以后调用的时候使用这个就可以正常调用此组件了.
; J4 W; R9 y" B$ m" H2.也要将clsid值也改一下1 c6 s$ t* m8 M0 K. }9 p% I  `( v
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值$ U) |* k1 v+ Y2 Y7 \, h! i1 B6 T
可以将其删除，来防止此类木马的危害.
5 y3 S, x( ~& _$ t* E, d! w( _! x2 I3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  $ V0 C7 o( ?- h; w
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
3 u- |7 r9 u: E! R9 x4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
: u/ T7 Q7 ~( w2 Fcacls C:\WINNT\system32\scrrun.dll /e /d guests8 V" K5 u, N! I, Q, O

& I/ k! X+ h3 z) g

' m$ a$ b& M/ n( C0 |. m$ e9 X二.使用WScript.Shell组件& Y% b0 c* T* |% ]

# [' r7 w1 x- \5 g9 a
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.1 V6 Q$ O- H* k6 Z; K! ?0 i4 L  \
2 V9 u7 E6 j% [) A9 r( Z0 y# x
HKEY_CLASSES_ROOT\WScript.Shell\
5 I( I" a, _9 T8 {! ?及4 R1 {& E& r1 }3 R: _
HKEY_CLASSES_ROOT\WScript.Shell.1\, t+ c- B% `+ i9 X, g8 U+ w
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc$ Y% k' K$ M  w! _6 e' c: S
自己以后调用的时候使用这个就可以正常调用此组件了5 c; U7 N5 X+ K. ~+ Q. N/ W

. L* n( R6 B; y. `/ Z2.也要将clsid值也改一下
1 `9 i2 l& H5 L- F- QHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
0 [! d+ E8 d! R. E1 G5 _( D+ q. aHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
7 w$ k7 m$ p( y4 @9 q也可以将其删除，来防止此类木马的危害。$ `# r9 R1 ~4 x2 ]. i

9 g9 z+ o. G$ n4 _9 a三.使用Shell.Application组件) x3 P0 q2 t# l4 Q  S2 g1 Z

+ H& Q0 M4 j* o- [7 h
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
0 i  \4 E+ M! _HKEY_CLASSES_ROOT\Shell.Application\
- D, Y7 I1 r( J% h) u及$ k8 c$ v: x0 H) w
HKEY_CLASSES_ROOT\Shell.Application.1\
9 k( B; A; l9 O& L改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
1 b4 k) g1 k- ]4 v$ n$ J& L自己以后调用的时候使用这个就可以正常调用此组件了* k5 F$ }! W% C5 i$ d
2.也要将clsid值也改一下5 I$ }+ j! V6 D$ A! i0 Z* ?4 \
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
; Z0 e6 N' |" eHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值4 c+ o# |7 b8 J4 q
也可以将其删除，来防止此类木马的危害。; f& i- ]$ X$ n' q; M

& x* l0 ~: d: U7 q+ d7 V* [6 r- L3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
4 Q( j8 D3 A- u: w; \& C9 _" b$ \& ?, ocacls C:\WINNT\system32\shell32.dll /e /d guests
" v5 K4 Y, m2 T& v  ]" y, i9 o

7 |3 X( a* O% `' y9 G  ^' s* {2 ~四.调用cmd.exe
$ Z' R9 W5 v3 H/ c  L, o' p7 s

/ m5 x) t; H3 z禁用Guests组用户调用cmd.exe命令:9 e2 T7 ^0 b* t% Z
cacls C:\WINNT\system32\Cmd.exe /e /d guests! C2 n2 }6 C) q, Y0 }5 _

4 q/ a9 q. B' J9 e3 Q8 m9 H9 S+ b8 _+ n# U
五.其它危险组件处理:$ e6 E1 l- o" ?  r! O& W

) [/ Y# ]& q: Y; |Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
5 z; x% G6 X: y/ g( t5 eWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)0 r4 J" G; B4 n% s
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)& P; F8 f+ P) C

! x# b! i3 C# v# a4 }7 ^' h( I
! S! e) X) ]2 l% l* Z3 t/ c; b
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.1 Y/ P- u: L0 z. M% S

. Q2 j( V/ Y3 d2 Q4 K$ ePS:有时间把图加上去，或者作个教程

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断

我本机测试了下
) ?+ u8 ^* w* l8 u& q$ r% W' y
; v, x0 q; q9 W: H如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

有控发点图上来对比下

猪猪

哦 学习了  知己知彼方能。。。。:)

paomo86

学习了……:D

小雄

发点图比较容易吸收。。:lol    不过这样也行。

在意z

谢谢楼主分享技术。。