[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

' \' w, l4 H; T3 G& X
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)5 o! k' H* _8 G$ v
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.  J; v% K; G/ a  _2 W
FileSystemObject组件---对文件进行常规操作.: v* i$ j4 t% j: ?  Y& T+ N
WScript.Shell组件---可以调用系统内核运行DOS基本命令.' s4 {% [( Z. \9 |* m) t
Shell.Application组件--可以调用系统内核运行DOS基本命令.  s; ~1 A8 H) O4 b1 a- E) M; \

一.使用FileSystemObject组件

: x- b9 m" ~( w4 s* f( f1 _1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
( \8 ^$ K+ z9 y6 _HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
7 v' T9 ?4 n% J6 G1 d- S改名为其它的名字，如：改为FileSystemObject_3800% ~, c, @( d8 t, u) c
自己以后调用的时候使用这个就可以正常调用此组件了.9 g7 O* ], |4 G. p) t/ b
2.也要将clsid值也改一下
9 M( z: l" ?! Z% `0 g2 O( ^HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
6 J( B# [) V2 z+ h0 O' l可以将其删除，来防止此类木马的危害.
0 h% B7 J6 W( T4 Z! u3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
1 M6 a$ h, n1 v/ _% f" L) ^# W$ v5 S- u如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
) X$ L/ {3 u6 M4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:. W8 d/ s4 t. X0 R6 F
cacls C:\WINNT\system32\scrrun.dll /e /d guests2 d5 Y6 Q( m# g0 f. r8 \- f. L' g

+ D3 R/ O, f- N' P# [) s

二.使用WScript.Shell组件' F. A8 Y) @4 X* G, ^/ |$ ?& O

+ D) ]7 |) m. {9 e( u3 n1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
( u1 g+ `4 s% J- x% m1 x% L7 \9 t( s5 e( e! I; T
HKEY_CLASSES_ROOT\WScript.Shell\
, I9 D0 e: v  O/ D% \) C& ]及2 u6 F; j, w# y
HKEY_CLASSES_ROOT\WScript.Shell.1\
/ L. o' a! J& N, g改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc' v# K  J2 U! A2 z" Y/ D* o* S  _( o
自己以后调用的时候使用这个就可以正常调用此组件了
& c& n( h$ n* w  Z8 U7 H+ Q. ^- Q: K; X' q; S
2.也要将clsid值也改一下( t+ Y; k# a) E4 W& A, Q
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
9 P7 L7 z7 z* v! T6 g, vHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
7 P/ ^+ C; Z7 H0 P$ |- r* M+ s也可以将其删除，来防止此类木马的危害。
( p$ j/ Y9 h" Z- L" ?

三.使用Shell.Application组件

& S# ?! ~' p3 X. g* r
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
6 w4 |. _- d) e2 o& {HKEY_CLASSES_ROOT\Shell.Application\/ k0 W6 b! p; {( r( C5 [
及
  j9 y$ T) _" G8 F7 RHKEY_CLASSES_ROOT\Shell.Application.1\- n/ C; P( J* X, Z$ N2 Y3 p
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
% i/ n" w- p5 e4 e/ \自己以后调用的时候使用这个就可以正常调用此组件了: M3 G( Q' X, H9 E2 b( b  O
2.也要将clsid值也改一下$ S' q. J2 L, T, E/ o* d
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值) O* @; k2 `' p  A4 `2 M
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值" r5 x) E7 {; A& @: w& [* ?
也可以将其删除，来防止此类木马的危害。
  S. ~- h6 P) Z6 m
( K. a/ E% @7 h/ c4 Z0 ^3.禁止Guest用户使用shell32.dll来防止调用此组件命令:2 d8 H* n+ {3 Z3 u# |% @& w
cacls C:\WINNT\system32\shell32.dll /e /d guests
/ }6 X+ ^9 T+ o) B; Y

四.调用cmd.exe' Q( S' E. h5 C1 G( c

+ z/ J. W; c$ I禁用Guests组用户调用cmd.exe命令:
' m5 `+ v1 B9 _5 f: { Ccacls C:\WINNT\system32\Cmd.exe /e /d guests
3 \& n3 `* {# d- j6 f5 B7 [/ r* ~

: a: w6 C7 d, d8 K" U; b
五.其它危险组件处理:3 b. k$ e- g: i" H! v W. N

% \) P4 P+ }5 p9 B9 FAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
0 k6 b& K* ^5 tWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)3 Y7 m$ l: d- N( Y9 {5 {8 X% m9 B! N
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)5 |/ L# G8 U: F8 Q3 k

5 [ N: {4 I0 w2 ~( F5 T
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
* L6 n8 e& D- Q% l; t. q) _. ^
PS:有时间把图加上去，或者作个教程