[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

( m& a8 A% C' q
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn): G& \7 ~* }& Q" s# t; @& `# k# x
信息来源：3.A.S.T网络安全技术团队2 H2 d! m8 |  d) Z( f
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.) G! ]4 e' o' d2 f1 C
FileSystemObject组件---对文件进行常规操作.! u, ?3 y  `! K2 l" d( G
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.* l& N4 K7 q* x; V  j

一.使用FileSystemObject组件

% f/ x" m6 S* E9 l$ f. Z1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
: ~; {# M$ v3 V" q+ M- w6 k8 kHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
0 q0 u5 }! @6 d! ]$ ]' K改名为其它的名字，如：改为FileSystemObject_3800
& s- W! f# c0 L3 R自己以后调用的时候使用这个就可以正常调用此组件了.0 m1 e/ ^6 R' A( R) V4 B
2.也要将clsid值也改一下% h' X/ [: Q0 A5 c0 @5 n
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值) j) s4 F- r" Z* v5 K: j
可以将其删除，来防止此类木马的危害.
% S+ F5 P0 i1 {5 {# U4 N. p3 \3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
: p5 @; B' @/ Q, b$ }$ ]: u; {$ |如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件: i- G# Q4 _/ ^0 J, V: A% G* @
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:9 Q  Q) E1 h& U
cacls C:\WINNT\system32\scrrun.dll /e /d guests
' }/ l+ ?- U" f  r, J( ?% b2 Y2 X1 N

4 f( a& M4 v2 ~- @/ T( q
二.使用WScript.Shell组件

4 q( i0 i8 c% W, P1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
4 e3 N/ U  U: f5 K) x2 S1 u) m  q8 L2 `$ k
HKEY_CLASSES_ROOT\WScript.Shell\
# p; d( ^% ?% e/ A: |3 {及& t. w  d  P! F4 L; H8 U
HKEY_CLASSES_ROOT\WScript.Shell.1\3 q# F) l3 P3 v6 I2 Z/ {6 ~
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
' W( h) k1 f: B$ [4 `! P, Y自己以后调用的时候使用这个就可以正常调用此组件了! r6 k3 M) v% }" Z' S; T0 J

4 G2 i: z* M' T' R- n2.也要将clsid值也改一下. O: H' R8 |2 \0 y" `( {1 g9 ~7 _
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值; s6 H" ?# h7 d  ?# m
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值1 y9 x' k6 u# S
也可以将其删除，来防止此类木马的危害。+ \. ~' m$ p' V

三.使用Shell.Application组件

9 p! r0 S; j: s8 w$ e* ~8 k4 O1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
" y# i3 ], w5 t4 E; KHKEY_CLASSES_ROOT\Shell.Application\
. _, x+ n; ]. Q# Q' R6 v; }及# f5 r3 u( N# m4 q4 O( [* @! f3 ~
HKEY_CLASSES_ROOT\Shell.Application.1\: N: E3 r2 J4 S$ U/ v7 p
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
/ Y1 v5 |* J. H# }* \6 B. P自己以后调用的时候使用这个就可以正常调用此组件了( j1 c* G8 W {8 b8 @# I
2.也要将clsid值也改一下+ ~ F3 [6 x# L' a
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
7 R* d) C# \: s0 w; }. ?HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值0 Q& p% T0 \* P7 p8 t! A1 k
也可以将其删除，来防止此类木马的危害。
) E: v( h) v5 s7 ?& L% K5 S9 _0 I# R4 T/ }. T$ C# q$ o, {" }
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:: E+ X& u" |) h3 \* J1 Q
cacls C:\WINNT\system32\shell32.dll /e /d guests
$ X7 z/ s. v3 m, C$ Y

四.调用cmd.exe5 P7 M7 P% G1 q/ X* o3 @/ c7 U

+ V5 v7 [. i, r& o1 w$ `8 S/ ~禁用Guests组用户调用cmd.exe命令:
: a e" B: J1 c5 E+ }5 Ccacls C:\WINNT\system32\Cmd.exe /e /d guests
* p6 J) I( @- O/ _. j! l# L; F

五.其它危险组件处理:* E0 m( y4 I% w- q

9 S- [# Q5 Z/ L; ^Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) ) k3 a) l+ d: I% b6 ]" u
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
7 J* q. U7 W v* PWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
. L- C! |& }0 {' [ x

' j" U% z' k% `- V/ s6 D5 R8 Q
+ B( g/ O: G% s6 o/ V* ^' u7 V
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
2 |8 E4 n3 T! p& I0 p
PS:有时间把图加上去，或者作个教程