[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

0 n, S9 w% h; g1 e# `
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)3 z; d& C1 @8 h7 `0 s1 y* s. D
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.7 M% Y3 N. h/ h n% v
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.
5 L" B I+ O0 Y4 E& n
一.使用FileSystemObject组件

" l  F/ v- G: E8 @/ x! s3 v1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.5 O0 t; ~; |+ E$ U
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\$ r5 z6 G; g+ k+ u+ v' Z: D* a
改名为其它的名字，如：改为FileSystemObject_3800
8 k7 R5 B' A# B; f自己以后调用的时候使用这个就可以正常调用此组件了.0 [& U+ A  M# ?& H+ P' H
2.也要将clsid值也改一下
0 e( [7 M5 C) d" jHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
3 K! W1 `0 G0 J9 I! x可以将其删除，来防止此类木马的危害.; o, W2 @. w' A4 b: r4 P& g
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
6 H7 Z  k  t+ |8 W4 M% a如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
* @. B! ~# ^, z' b4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
% p; m/ G' Y) U3 k% j6 f, M. \cacls C:\WINNT\system32\scrrun.dll /e /d guests! B: ~5 y7 _$ P. E- b4 {1 D

! H: y6 b4 W( g9 M f5 H3 H) u

二.使用WScript.Shell组件

& @4 O5 J* C) A  k  T0 J2 S1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.# U+ |8 a. ?) L* J2 O# }* \# x

: D! X8 X" K# ?7 _5 KHKEY_CLASSES_ROOT\WScript.Shell\3 ~4 v1 r. w' t6 o& J3 w' p# |+ I
及+ p3 A- ~% ^7 e7 N- D
HKEY_CLASSES_ROOT\WScript.Shell.1\
0 [0 Z3 ~# m4 `0 |$ ]改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
) t# [" c% O. j6 A9 D* U; `7 o6 q自己以后调用的时候使用这个就可以正常调用此组件了( [3 s1 W- @$ k$ t' r6 s

3 G6 e1 g; j" M# z- P* m* {  k, q" W2.也要将clsid值也改一下/ m2 k! Y0 n# b$ h# ^
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值2 a, j$ t( @0 h3 D4 J
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值2 R+ |/ {9 g0 j* ]" D
也可以将其删除，来防止此类木马的危害。' U: p0 e7 n  f

三.使用Shell.Application组件- p2 I8 b9 F* p/ G& o( u, D

9 ^  N" X: T, l9 J( [! a' n
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。8 B3 _) P4 x5 J' Q4 D9 e4 f. m
HKEY_CLASSES_ROOT\Shell.Application\9 Z% @$ W. M: |% ~" P9 \% x
及  [: v! H* B2 r9 n0 b
HKEY_CLASSES_ROOT\Shell.Application.1\
# j( }  r1 k/ Y4 b# S+ R2 {改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName0 s, r# |" F6 \" T# Z0 g
自己以后调用的时候使用这个就可以正常调用此组件了
0 n" c: z5 ~/ \4 d! X9 P2.也要将clsid值也改一下' X$ [8 C8 B; f' {$ H. q
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值' V. @: G! g* e# K& J
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
5 v6 W# Z/ O9 G; @+ i1 h7 A0 y也可以将其删除，来防止此类木马的危害。9 ]8 M8 Z1 D5 Z9 P' b- E

, U3 t0 z- b. p0 [3 M+ R/ [3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
+ u; F3 U0 o: K7 Icacls C:\WINNT\system32\shell32.dll /e /d guests
) m  H- R0 J) g2 w  w/ v0 W

四.调用cmd.exe

0 T6 @& `" ^4 e( ]6 y* V6 v( b禁用Guests组用户调用cmd.exe命令:
+ L, r2 B0 d% S9 ccacls C:\WINNT\system32\Cmd.exe /e /d guests" ]1 P; Z/ |% C. u, u! h" H" t

' X) @1 {3 M+ F, C
0 X) U A! X6 D$ L M4 O
五.其它危险组件处理:' L! l; Y" T' [9 u/ b' Q

, @ C' ?! l( |1 y5 b
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 9 N+ u3 |' L G3 h! i0 z
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
2 |4 X+ ~, w9 O- I# v; bWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
4 R* S" J: t& t& Q* Z

1 i9 I: e! E. m' a6 G9 \* P
& {9 f) b3 {: V
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程