[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

& x" v7 s8 ?4 D7 R* R
4 H, x0 r5 D3 V& j( |
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)0 @: M, ]: g4 ]7 c# T* u
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.% P. J" [5 W+ w3 ]: |
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.1 F& C! z- c: {% q& C8 w' @; y

一.使用FileSystemObject组件

8 c) U4 U0 q7 m% D4 X
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
3 t0 d" Y, p1 ~) ]5 }6 B' D% U: ?HKEY_CLASSES_ROOT\Scripting.FileSystemObject\- U$ Z) \6 F9 i- u7 D* K
改名为其它的名字，如：改为FileSystemObject_38000 V7 o( W7 D2 B: k. O
自己以后调用的时候使用这个就可以正常调用此组件了.% a" o- l; j4 {
2.也要将clsid值也改一下
2 ], m4 U% z0 D2 Y2 I  V5 pHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值9 I1 y+ n; }/ |& j7 z2 r
可以将其删除，来防止此类木马的危害.. }  a& z, s& V
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  ( @/ D0 ^+ L8 j0 t: f6 Y% t8 I  q- G
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
% l- c3 r/ D/ R8 {8 v4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
2 G1 O0 ?# c6 U+ ?( J  N$ k: y. lcacls C:\WINNT\system32\scrrun.dll /e /d guests1 K' q! ?1 V, l  a! Z6 G9 R

0 r5 c7 X, O) O
二.使用WScript.Shell组件

) _& i# _* g# o" x$ Z, {! I  a% y1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.7 y2 D0 d! ^0 X9 M

' h% p& a. y1 y) m% {4 FHKEY_CLASSES_ROOT\WScript.Shell\
2 U: O- a' d0 e& T$ e4 m及/ C) `  W! H' ], D" N4 Z
HKEY_CLASSES_ROOT\WScript.Shell.1\
1 m- l6 I$ B* n0 A6 e改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
) ^) [! q* ]! y  _自己以后调用的时候使用这个就可以正常调用此组件了
" V* S+ s8 d- Z* i$ ~$ S4 z1 [: K
% C9 f3 k$ I- P% x' d; _4 z" z  e2.也要将clsid值也改一下) ?( f. X) M" A9 A
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
. f6 e: K4 K+ C6 SHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值5 \6 \0 h( v. u, M
也可以将其删除，来防止此类木马的危害。1 R  M1 B- u. ~/ a4 M

! f* |/ X3 y! y0 a* a: u1 m
三.使用Shell.Application组件

* L+ \7 z6 M+ F) |8 d& G7 o. M1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。: H5 b2 y8 [* C4 P3 v
HKEY_CLASSES_ROOT\Shell.Application\
8 V- R, F( d9 x4 J4 v( N) \及
% [+ n! V+ Z/ l) Y9 @/ H- hHKEY_CLASSES_ROOT\Shell.Application.1\
4 n$ F. V4 ~* n2 Q* m  R改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
6 Z$ @  h7 M: s3 k5 ]2 F自己以后调用的时候使用这个就可以正常调用此组件了
; _# M. n8 y; m6 [/ J2.也要将clsid值也改一下
- q3 c  L1 y4 yHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值3 z7 B) t3 Q% P& X
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
% ~9 a+ o% G! X9 |6 {$ B也可以将其删除，来防止此类木马的危害。
. N' k3 W1 O0 p" i. P+ m
. K- K8 ]* H( r9 {: B" R3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
, a( t# u; P5 g/ `# |cacls C:\WINNT\system32\shell32.dll /e /d guests$ S: `; {- @  T9 ]' F

: ?; A! N. F/ F$ N" `! ^7 Z. V
四.调用cmd.exe

% T: X9 G1 s+ U% f% s2 G6 G4 S禁用Guests组用户调用cmd.exe命令:
* c3 o4 V9 W3 F. P$ B+ l' Pcacls C:\WINNT\system32\Cmd.exe /e /d guests
# ~1 b. f, o& M, q2 b1 f* s

6 i, Y7 o2 ?0 z l* E( S: J
U) d" \* _# ~$ x, i# s
五.其它危险组件处理:

3 Y# `! ~) F; q% n3 z1 x' W
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 7 Z c6 u4 d1 a
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
6 c4 n6 f) L& sWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
; ^3 u+ D& M% d% y

, y2 D h6 Q$ t, X+ ]
, N w" a5 O7 P. N
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.0 u0 G4 ~3 e/ S" U. _# |3 Y4 ^; W

PS:有时间把图加上去，或者作个教程