[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

6 \4 I2 u/ X& y, y1 Q" L
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn) K$ f4 x) X- k/ g6 h
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.1 f& B* `: D5 {' Z- k! Y1 H5 E1 ^; q! T
FileSystemObject组件---对文件进行常规操作.1 \) k, H% [7 {! W) `% ?
WScript.Shell组件---可以调用系统内核运行DOS基本命令.8 v h! v& \# l- a; }9 i1 R' ^" P r
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件

+ s$ T# s& `" e# ?1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\6 b2 P7 H: ?' h7 ^. b  C
改名为其它的名字，如：改为FileSystemObject_3800
2 n2 K7 Z7 J* p% E! A8 ~自己以后调用的时候使用这个就可以正常调用此组件了.  @( J, S& ]9 I- S1 X+ f3 I+ i
2.也要将clsid值也改一下9 x$ Y$ Y3 [7 n0 p
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
: y6 c) {" V' w% A! x9 n3 _+ x- g  O可以将其删除，来防止此类木马的危害.
% Q$ _4 f3 @+ m& K3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  9 W" g( [& Z- R6 P: E
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件; E( u$ z( D1 C: R" s5 B
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
  p# \' j, I+ |; K- o$ Zcacls C:\WINNT\system32\scrrun.dll /e /d guests- R% \9 }5 |6 S* P, o5 Y

+ P$ S& F' h6 f- y: z
二.使用WScript.Shell组件

5 `0 G1 P& @3 G6 }' X) R$ t J1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
5 N" d& F; \0 o$ Z3 I2 s* p& U
HKEY_CLASSES_ROOT\WScript.Shell\
3 `0 ^3 v9 N" o7 [及$ r. p8 j5 c7 p' I& e
HKEY_CLASSES_ROOT\WScript.Shell.1\
7 ^8 P# j3 B: }改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
; E1 a1 r, X- D% ^0 j自己以后调用的时候使用这个就可以正常调用此组件了, ^, a! R$ W8 e& `3 a% ^, V+ A
. Z2 O3 _6 ^% Q7 V1 F8 x; b
2.也要将clsid值也改一下
9 O3 i# A7 O, Z4 GHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
, t2 d1 O( v6 cHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
& Z" x, v9 W. B+ v/ v$ n也可以将其删除，来防止此类木马的危害。
. A1 Q3 H8 ], h/ x4 w

7 r6 m; q( j7 {7 `8 Z9 }9 Q( _
三.使用Shell.Application组件4 X: H* a) Y0 q, R; |

* }8 J5 [& [5 ?+ R9 z  s! E1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
6 S1 C6 C: i( b/ ]. x% X$ P% p; IHKEY_CLASSES_ROOT\Shell.Application\
+ k9 ]7 h* h5 B及; ?4 n; x: j( Q6 V" X, Q
HKEY_CLASSES_ROOT\Shell.Application.1\
! }2 V* ~- o2 b7 M改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName! q6 W( o# s% l
自己以后调用的时候使用这个就可以正常调用此组件了$ u4 X/ c4 w' F; x9 Q* \- D
2.也要将clsid值也改一下& W' G) Z1 d* P7 {% F  c
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值) A( E6 z2 d+ j  y5 a' D
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
$ X: k6 t2 X1 r' z8 u2 p- A也可以将其删除，来防止此类木马的危害。  N* d& r; b9 F" g) a2 L

+ k$ w$ J( |0 Q; G  C0 r3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
/ s3 t+ p" P9 C2 b. ]cacls C:\WINNT\system32\shell32.dll /e /d guests
* A" e0 V* @$ D9 j& X7 ~

四.调用cmd.exe; F8 x5 \1 S% ?

, |- z3 _6 L R' w9 `' b, T" I禁用Guests组用户调用cmd.exe命令:
- L* F3 R: F6 u9 K" p) Qcacls C:\WINNT\system32\Cmd.exe /e /d guests
+ O; i# _: X9 v( c; g$ A

. M4 S( R, q8 C C+ p6 k

五.其它危险组件处理:

2 G' ^ {0 p7 Y0 d
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
7 E! Q9 z3 Z# ]; x2 U4 `. xWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
; x5 e) Y3 Y8 M1 [7 uWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)1 d0 z2 p, a- B; ~" P

' p* z+ ^/ Z/ R a5 O
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
" S: T, |* T4 L( j' v* ?
PS:有时间把图加上去，或者作个教程