[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

: Z8 B( f5 w" C3 S4 q" W3 x$ g+ f
" F* I: W$ _- @& K5 R9 y6 @原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)% y3 \! L2 n  i8 M. h4 M, v
信息来源：3.A.S.T网络安全技术团队
1 h; b: A5 t: M8 m9 s" f防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
+ ]# F$ ]8 U* O& l2 mFileSystemObject组件---对文件进行常规操作.
; y' n7 ^2 s+ ~3 X4 z8 f$ HWScript.Shell组件---可以调用系统内核运行DOS基本命令.
6 s$ G+ V* v7 K' k3 X$ I4 S- v$ WShell.Application组件--可以调用系统内核运行DOS基本命令.
  ]' K. i; f* T5 g" `& B' o2 R- M0 i9 m/ T+ B
一.使用FileSystemObject组件
3 S8 U' M# C/ G* s( U

: O8 z" r5 G4 V' L3 p+ z2 A- V
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.* l: A' q0 k+ d0 d2 ~; @- P; K1 G
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
* e' x) l1 W5 I& H改名为其它的名字，如：改为FileSystemObject_3800
+ s$ x, K! V/ \7 Z# T% F( }. Y自己以后调用的时候使用这个就可以正常调用此组件了.# w  h* K4 O0 C# A# V+ p" A  `
2.也要将clsid值也改一下+ A8 d# O  n, x
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值! j6 C( w6 F' ^2 z4 p# d
可以将其删除，来防止此类木马的危害.
5 w1 d/ x( v- A: Q" F3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
6 Q; X: V( [- o9 w" p9 V' @! i7 y' Y如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
4 f- J- |: w! \& O! v. {& `4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:  I& ^/ D4 n; s0 ]( }& N# m
cacls C:\WINNT\system32\scrrun.dll /e /d guests. O+ p, s8 y$ V. N! n

7 e; W+ [! ~: ^

( n9 W4 \, i- u- Z: X# S1 U$ G二.使用WScript.Shell组件
* _6 e) }; h: z3 m/ b, M) @

3 y3 _' ~+ {* D/ P3 r1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
7 j% s9 I% @2 `7 ?
* i: D3 Q8 C  S6 B2 F2 X7 _HKEY_CLASSES_ROOT\WScript.Shell\
! z6 T; _! Y9 L2 u" N/ ~及5 V/ N7 j0 t2 m. n5 p' x% a
HKEY_CLASSES_ROOT\WScript.Shell.1\
) u' c6 l: {1 s; [, d改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc4 l) ]: _2 O' S+ x) A  r$ y
自己以后调用的时候使用这个就可以正常调用此组件了
. B; G5 N7 ~1 {. N
' P* U# R" i+ r+ m2.也要将clsid值也改一下
* R1 x3 x2 Z) I6 C( NHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
% F2 \' ~! a: |# N" J) T/ G  `HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
# y) u. s! f' V5 H也可以将其删除，来防止此类木马的危害。
! G1 d3 K) _( K! {- \

4 I( E( w8 }% R6 K  s三.使用Shell.Application组件
# w0 @/ S0 a! d6 c# T

3 F  N* C- z  z1 f& V8 y1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
' P' F6 ?7 }3 F0 ~& IHKEY_CLASSES_ROOT\Shell.Application\' J$ M( v' H  T& M% ^
及
4 b( ^# C7 H, J; ^  @; aHKEY_CLASSES_ROOT\Shell.Application.1\
( J  R* z% Z( r# _- k# x4 [改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName* R2 c5 o" E  l0 d2 }' ^' p4 |2 ^
自己以后调用的时候使用这个就可以正常调用此组件了' K1 K1 I! }7 N% v$ N7 i, a
2.也要将clsid值也改一下$ J3 I8 h$ s/ E+ z% e3 ^
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值; U6 n6 C4 n* K& ^/ z% j
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
7 J$ ^$ ~  Y5 g' I- l' E) [" K也可以将其删除，来防止此类木马的危害。
& c! g' C3 S" ~( t% A2 \
% x" @$ n' P1 N* `4 Y0 h3.禁止Guest用户使用shell32.dll来防止调用此组件命令:- y$ b# h4 [3 y
cacls C:\WINNT\system32\shell32.dll /e /d guests1 k! [0 `7 t- {/ W. q7 B5 t

; U1 V9 c; S$ Q. `7 O
四.调用cmd.exe
6 K' C; e7 W0 T; M/ ^5 H9 |

* ^" \# b, v+ M禁用Guests组用户调用cmd.exe命令:
7 V4 ^! L9 `! o+ c( K$ m( gcacls C:\WINNT\system32\Cmd.exe /e /d guests
4 T; p# r+ A+ c6 ]& q# s

/ j$ g- y2 f& p8 f2 b: i$ w6 Q2 N5 z
五.其它危险组件处理:
8 O/ P! i. C' ?! P: w+ a7 Q

: u% n5 K& z$ o2 |) P
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) " i+ |( Z0 y% |0 i% ]/ k
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
" A- H; t. u/ TWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
  V" b1 ~! z; u! Q0 x, [

# X4 K( q$ m6 M9 r
2 ?" _" t! B4 {3 L按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
. a6 e9 E2 _' l/ z; @9 t" p0 n( q' |# ~$ X
PS:有时间把图加上去，或者作个教程

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断

我本机测试了下
  F+ r1 v2 Z% {7 |) n9 M+ i  P# ~
: D) t& y1 S& a0 d3 @; c如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

有控发点图上来对比下

猪猪

哦 学习了  知己知彼方能。。。。:)

paomo86

学习了……:D

小雄

发点图比较容易吸收。。:lol    不过这样也行。

在意z

谢谢楼主分享技术。。