[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

' N: S: q0 S' ~6 i6 N$ M7 @
+ ]% ?! r( T7 t0 ?原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
) I' G" g" Y  R. m# i6 Q8 H信息来源：3.A.S.T网络安全技术团队
3 b. {. B! f& R1 E( F1 u& C防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.7 s6 _( x, J1 l- m! K& t0 `
FileSystemObject组件---对文件进行常规操作.- k  R0 |2 W# g0 i( i
WScript.Shell组件---可以调用系统内核运行DOS基本命令.+ F( s* h" j$ K' B) ~( m/ P
Shell.Application组件--可以调用系统内核运行DOS基本命令.
$ b2 c) q% B7 _4 d# K2 |' f4 w
2 \1 h% {7 E: Q$ G一.使用FileSystemObject组件6 N* e/ v, i$ Q

8 a* O7 s+ f' p; S. a# o) R
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.$ z" S0 {1 G% L% u4 K  Y, r8 _# T
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
0 I$ ]! R1 |0 ]0 q  S2 E8 a1 o改名为其它的名字，如：改为FileSystemObject_3800
8 {) J9 y" ]5 P  f: {  z0 F% {+ _7 R自己以后调用的时候使用这个就可以正常调用此组件了.8 O6 t2 A# ?3 v9 y* m
2.也要将clsid值也改一下( e8 r: j+ f3 m
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
3 X5 n; s, A3 p( J3 S可以将其删除，来防止此类木马的危害.! x# `* O0 I6 i  ~1 I
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  4 i& h2 t: a( d5 h9 |1 x
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
8 @% u  |( n0 Z: D# v/ f3 I, j2 {4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:  X+ O4 `; }7 J1 f9 ^6 z$ o
cacls C:\WINNT\system32\scrrun.dll /e /d guests
! X* X# K5 V5 _# R$ ^; i) R8 r0 Z

! [3 q! K- p4 ]- `- W/ i

' O. V( l; \  G* s二.使用WScript.Shell组件
6 j/ L  o5 y; ?

3 h( a0 E2 j( [3 @$ k" s. R; [
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
6 G! k/ Y% }7 n! _+ X* [+ ?2 a+ V1 o# f& ^# j" E! I
HKEY_CLASSES_ROOT\WScript.Shell\7 l  X$ D- h( j, X
及; Y: ?8 C+ L+ B# k& t
HKEY_CLASSES_ROOT\WScript.Shell.1\4 R. h: q. T6 M1 N5 @5 ]9 `& ^
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc& f& o) {6 k5 ?+ i% e* @* b
自己以后调用的时候使用这个就可以正常调用此组件了
% e1 K; r3 n6 b/ k. O$ j! \! ?
7 ^& T; u4 p' q. P# |; H. m: z5 f2.也要将clsid值也改一下
) h8 ]+ J% O. S  x# q+ Q$ U; NHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值% o) z' F( G" M0 N2 k
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
; A5 U0 Q6 A* q# {# K* t3 h) `( O. i" _也可以将其删除，来防止此类木马的危害。! a. A- u1 Q3 n

0 V$ G: Q3 Z! m6 l
三.使用Shell.Application组件" t, Z' G5 v6 d

" q( [) S- I' m; O4 Q/ t# ^
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
- v. ^: C/ z. z9 y8 c; LHKEY_CLASSES_ROOT\Shell.Application\6 E0 A. m( f- B6 H! N; g8 ^' k
及! P7 a2 w* o7 H1 `- P
HKEY_CLASSES_ROOT\Shell.Application.1\1 r1 M& F: }4 f& |) X
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName: J/ ]1 R- H$ ~
自己以后调用的时候使用这个就可以正常调用此组件了2 A) [* d/ p7 A  D/ |
2.也要将clsid值也改一下: c  _/ i4 a( X" w  d- w8 t8 b% m
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值% k- f& o( ?; g" |; K+ l; F
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
" i3 e9 [  y" B也可以将其删除，来防止此类木马的危害。! e: y3 T. J! W/ f

/ J: o+ P! T8 f# i+ \0 [& g8 Y* |; ]3.禁止Guest用户使用shell32.dll来防止调用此组件命令:8 ~* H+ |+ X0 A; F
cacls C:\WINNT\system32\shell32.dll /e /d guests
" s6 n# f1 C- ?1 f. y) R

3 M; T( C% Y7 n# s( G
四.调用cmd.exe
- U6 B0 e  ^* @' B" L

) Y; B: a8 o/ V+ @. o禁用Guests组用户调用cmd.exe命令:' \4 \7 N2 b! L* n9 A5 r
cacls C:\WINNT\system32\Cmd.exe /e /d guests7 _& r* D! [! Y, _3 M. F

* y! @3 D  P6 f+ D2 z3 g

) L7 d( x) e3 M. t4 S. s五.其它危险组件处理:" p4 L( }* o9 u1 U* \* A

. W$ e+ G1 M2 ]' d8 x" M
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
4 w6 [8 d. I% n* a. M1 tWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)! v  U/ |! k' T* Z
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)4 Y/ x( f, i& Y' I' t* h  m9 J

6 a- A  ?, a8 f- z# `" C/ w
2 l8 n1 E+ Z9 J+ O* w2 B4 A
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
! a4 q" O8 M4 |, N* p% K* S* [1 e9 C; {8 E  _: V6 M: z
PS:有时间把图加上去，或者作个教程

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断

我本机测试了下  \% Y# Q7 \2 V' z) G' q

3 a! j0 V" S/ Z/ D/ S0 h8 \如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

有控发点图上来对比下

猪猪

哦 学习了  知己知彼方能。。。。:)

paomo86

学习了……:D

小雄

发点图比较容易吸收。。:lol    不过这样也行。

在意z

谢谢楼主分享技术。。