[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

0 _- ^+ ]) G1 g( o) Q
+ G: H) j- r/ F$ X9 T, U: R6 D
原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)8 L# Q5 f4 D4 z( ]! a- u
信息来源：3.A.S.T网络安全技术团队& L+ ^# P, A2 H; a. n
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.7 h( g" R2 D9 e# T4 ^4 `7 t& d7 D* ~
FileSystemObject组件---对文件进行常规操作.
- H0 C$ |; T6 Q( \2 j: _4 EWScript.Shell组件---可以调用系统内核运行DOS基本命令.
2 L3 k* Z& u6 E! l& }6 R& q8 o6 KShell.Application组件--可以调用系统内核运行DOS基本命令.3 o5 q; S" ~! C2 X" ?- a! Q
+ e) h1 B' Y. ?
一.使用FileSystemObject组件0 [- ?0 ?) p& E

. i! o7 a- W3 r* w+ A6 R( n8 y
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
+ f' ?8 }! C7 f4 DHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
! y$ m8 b) F8 U9 w改名为其它的名字，如：改为FileSystemObject_3800
- q0 ~' ~& U& ~自己以后调用的时候使用这个就可以正常调用此组件了.
$ [! `* ^, i, g4 X2.也要将clsid值也改一下  H6 X) Q/ p- E* J+ E
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
: {6 K& d" ~" H. v# C可以将其删除，来防止此类木马的危害.
  A& {& _) w8 W$ d+ y3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  2 p0 i+ C; r6 l" k4 q
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件& Z# b( @2 q% h, u5 b( r
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
/ E7 n7 T2 c0 S' n1 ]cacls C:\WINNT\system32\scrrun.dll /e /d guests1 ]' U0 A( n5 ?8 I

2 {7 `% B, i2 A1 R: I+ R9 m! V1 v+ `, `

, l8 o" R0 _+ Y, q二.使用WScript.Shell组件
# y$ h5 i6 k: Y  I' Z- ~

: ^9 N9 W1 A# f- V: [" X1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
8 k' Q2 @" U$ I7 d9 F, v, a
) L" a% M6 }* M7 o8 S+ n, I, SHKEY_CLASSES_ROOT\WScript.Shell\
0 V  R, S1 H$ s( x5 x及0 }' d9 \, L$ V* X0 u% T; N- D3 s
HKEY_CLASSES_ROOT\WScript.Shell.1\
: S# j/ P- t) ~  A* h改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc2 A. v7 A1 ^$ v, l8 Y0 M3 q
自己以后调用的时候使用这个就可以正常调用此组件了
- X0 O3 \5 Z6 Y/ w8 p4 `4 K# V( y
2.也要将clsid值也改一下
( x: u. A& R6 `4 h: R2 D( }HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值% E" ^' F. V9 o3 ]
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
; E8 |0 \+ d6 Z! e# j也可以将其删除，来防止此类木马的危害。
* f  s* U( m2 p7 U4 h7 G

3 O! M, ?1 y. u. V" l2 Z& b4 f
三.使用Shell.Application组件( Z* ], {1 X- c! ?( F0 g9 k6 y! d

" c& U/ N; |# y/ f* a1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。2 {& A- Q$ R) N% T6 C, G* }6 o. p6 ~
HKEY_CLASSES_ROOT\Shell.Application\
0 `# ^8 D" y- r2 k及, d4 F7 J4 X) C4 y* [( r
HKEY_CLASSES_ROOT\Shell.Application.1\) H3 c  V2 ~2 B9 @
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
/ ?6 d, i* _5 ~& e* ^- i  o自己以后调用的时候使用这个就可以正常调用此组件了
3 M0 u! Z- `- U" U( x% x3 \1 b! \2.也要将clsid值也改一下" F) S: t0 E9 c4 G. q
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值6 i5 w- d6 p# F% G7 w: M, M
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
# G3 C' q- S  R也可以将其删除，来防止此类木马的危害。: _0 y+ K4 z+ P$ r/ P6 q

  W2 O" r7 T7 S1 G4 W1 g3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
+ x: c6 W6 H3 l' V/ ]; l5 Ucacls C:\WINNT\system32\shell32.dll /e /d guests, N: T  g+ x2 Q. S/ @" \2 m

+ o* u2 z+ h4 h7 Z6 L+ ?, W$ G四.调用cmd.exe
2 b6 I# c5 R. T$ R- ^# s  v' q

: M3 g! l4 |" Z4 y禁用Guests组用户调用cmd.exe命令:: a$ f. I! u9 B
cacls C:\WINNT\system32\Cmd.exe /e /d guests
1 _+ R/ J, S' S$ d2 ?: V3 U

+ ?# Y" a0 g. h) D
9 P! O  q$ f/ y+ Z" w' R五.其它危险组件处理:
/ m( R" u; E" K# N

# L. E" }* u, CAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
# S# r6 V4 e  ]4 pWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)- M& C) t' p- o- Z
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
4 z8 Y6 K$ a' {/ G' s1 S- v: b" y+ U

& u7 }# a- h/ |6 @9 q

9 k* @" z# S$ M, X* I/ W9 o按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.& L4 K  |& l+ t* K
1 V: F# \; h. J3 i
PS:有时间把图加上去，或者作个教程

在意z

谢谢楼主分享技术。。

小雄

发点图比较容易吸收。。:lol    不过这样也行。

paomo86

学习了……:D

猪猪

哦 学习了  知己知彼方能。。。。:)

saitojie

有控发点图上来对比下

柔肠寸断

我本机测试了下5 j5 o3 A* I6 k# V

# o( ^: z0 }/ d( j* U7 u0 R如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！