[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

: O& d+ N% i5 s: }! b* c9 b9 I' C
3 o4 I; g( H% Z+ S+ d
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn): x! m. L, Z' u( v z
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.- y* J5 L4 z5 g: ]+ T% b( @2 P
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.
8 K i# f2 u) ~4 x2 u8 v% W
一.使用FileSystemObject组件0 P) K$ H. [; \" H6 i& a" E

3 W+ t7 l. W) I& X& [1 Q8 [
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.- ]& z# t- @: a4 t
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
% L( l( u2 e9 \改名为其它的名字，如：改为FileSystemObject_3800
% E) e( y9 o! J! B$ e自己以后调用的时候使用这个就可以正常调用此组件了.
6 {  ~, K/ N6 c) O. I2.也要将clsid值也改一下
0 l, V+ r" J$ @HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值4 v4 q  N1 v! y) j9 f
可以将其删除，来防止此类木马的危害.) ?& h7 [7 F% o; H! V
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
# D$ r2 \% ~" _  Y1 `- i如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件7 ^% Y% s& i  m1 m$ r# `
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:* |% ~3 E# _! A" ?( n/ V+ ^
cacls C:\WINNT\system32\scrrun.dll /e /d guests
, z' f! Y" v0 L- L

0 X( ]0 H$ o7 I: g5 N% g8 R5 D

二.使用WScript.Shell组件7 I1 Q/ M- ]) y: {+ r

e4 g6 W5 _9 ]$ h; R6 K" P0 Z1 x1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
* D$ g; h- W! `' q# S5 v
7 b2 _4 X4 }0 U) R& \% HHKEY_CLASSES_ROOT\WScript.Shell\
0 f! A6 u2 o, \1 M& {; r' e及
4 N" [4 i5 F0 OHKEY_CLASSES_ROOT\WScript.Shell.1\* D' }$ C7 y6 l# C
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc$ X/ ~9 |5 l0 C$ d5 M
自己以后调用的时候使用这个就可以正常调用此组件了2 R O; F; J7 N
# g! L9 t1 M6 p: T4 k
2.也要将clsid值也改一下
8 p1 E0 X+ Y% fHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值) `2 }4 T3 U0 o
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
0 R9 j- i$ n; H也可以将其删除，来防止此类木马的危害。
4 ?- L# v4 P' M7 v: u) f7 k1 e

7 V: Q) k7 w! W5 X
三.使用Shell.Application组件

6 i! A8 ?+ J7 j9 p
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。+ I2 l! A( T8 n- w
HKEY_CLASSES_ROOT\Shell.Application\
+ G. C6 S0 X$ X: a: \7 A4 O及- b) J+ e2 ~) }  X& b$ {% L; c
HKEY_CLASSES_ROOT\Shell.Application.1\$ R8 |; Y5 h2 j: k% i
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName5 ^+ o% r* M* V' K2 z: W. H
自己以后调用的时候使用这个就可以正常调用此组件了
; s  t8 s4 M: v( p6 u- Z2.也要将clsid值也改一下, M/ \: y/ I. ?$ C; L0 [9 P
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值0 G0 X% w' E2 E3 d* r
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
' D$ }4 H: {9 A# ]1 Y0 K9 B也可以将其删除，来防止此类木马的危害。' x0 y3 c* S, Q( c
" m0 e9 o. J" U
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:2 m  v: `5 X8 |
cacls C:\WINNT\system32\shell32.dll /e /d guests2 x; p+ f9 V9 g

6 @4 h" p, w1 [& \- n# H
四.调用cmd.exe" v. b0 `" s6 j. N

+ S- m2 G {. Y. [# N禁用Guests组用户调用cmd.exe命令:- W( P* v# O5 Z9 o
cacls C:\WINNT\system32\Cmd.exe /e /d guests
0 g- Q4 k# g% U, j6 S3 W

五.其它危险组件处理:

# C7 H0 j! s( I0 U* fAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
( Q6 r2 A3 a: y0 e+ g0 s# vWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)7 Y% @0 A- y" A2 D
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74): W) ]0 ^' h" y3 P/ {' \

6 V$ j$ P+ ~5 Z v$ s
5 C. p( N( r' z
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程