[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)$ V0 G% }6 S/ z6 ^, L
信息来源：3.A.S.T网络安全技术团队# n9 y& |; r; E+ Q! q. x
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.* {7 M+ v! P% Q# L1 ?( @
FileSystemObject组件---对文件进行常规操作.! k6 o! y; t0 r( o& E" h3 }7 [
WScript.Shell组件---可以调用系统内核运行DOS基本命令.3 g3 i, \0 }7 d- {* o4 O
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件" X L9 U7 a, L3 _6 _/ K

/ M# r+ Y9 J+ J7 T2 f* r( q/ ?, g5 r7 B1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
0 [* b" B& ^9 ^9 |6 PHKEY_CLASSES_ROOT\Scripting.FileSystemObject\$ O7 M: [* w1 L! o  Q
改名为其它的名字，如：改为FileSystemObject_3800
2 W6 A! h  g# c7 z' r# I自己以后调用的时候使用这个就可以正常调用此组件了.
1 r# b7 W5 _6 L0 ?- K8 S2.也要将clsid值也改一下4 o8 a. q* S9 P2 v9 U  q
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值7 f" ~- e2 D/ L1 I. f1 L2 i* a, M
可以将其删除，来防止此类木马的危害.% _; u' b7 r, ^/ C5 {9 ]/ e! M
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  8 ~& ?& T- ~: m
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
3 d! s" i$ d- O7 D4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
& O$ r' E# q6 G6 c0 g6 jcacls C:\WINNT\system32\scrrun.dll /e /d guests( \8 W; G% u+ Y+ S2 x* e

7 B/ x6 E( P/ z$ v# V8 S

二.使用WScript.Shell组件. C2 g7 U& A8 _( c7 V0 L! C* y

+ O1 Z3 F, k$ |5 g/ a: i& x1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
3 K2 P3 p4 k- N, t/ |; d8 i4 y4 m$ T" A% a' p. y
HKEY_CLASSES_ROOT\WScript.Shell\! G/ i3 ?9 H7 ?2 A+ P
及
5 z9 s7 V9 ^$ |' ~2 YHKEY_CLASSES_ROOT\WScript.Shell.1\1 q ]' c# N. |6 A+ H
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc4 T$ m4 J5 v, |8 T1 |5 \& N0 E
自己以后调用的时候使用这个就可以正常调用此组件了
9 Z6 E" @& W! }, Y2 R6 r
* c4 C# w+ X% [3 s' A2 j2.也要将clsid值也改一下" O, ~+ w& \" J7 M% s
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值& x: F. m7 s4 J! @. `, Q3 v# z8 ^
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值% {# d( H. O& ~ w0 G! d, X
也可以将其删除，来防止此类木马的危害。5 h0 W' R% J8 r, R- {7 K

三.使用Shell.Application组件

% U. k* p8 n& @8 A9 F3 h9 u6 \1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
5 d' l- p- @5 X2 s5 ^HKEY_CLASSES_ROOT\Shell.Application\5 v8 y  t/ h" ]) @6 @- Y. }7 z3 n
及
, [2 ^( W! L8 I/ y9 SHKEY_CLASSES_ROOT\Shell.Application.1\. U7 |+ }0 p+ p1 t3 E
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
3 P+ B! H6 [, [- A* a$ I$ Q自己以后调用的时候使用这个就可以正常调用此组件了: f9 \3 \1 B0 r4 o4 M
2.也要将clsid值也改一下
, u/ D  X" U3 l% \( {HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
+ n) M, O) G& H! ]HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
: R& D3 ]4 a8 `# r( Q  V也可以将其删除，来防止此类木马的危害。
) }" m/ J0 K  \" z' p" R
. A! H" W, V1 t3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
( |! e/ X6 p! j6 y" |5 tcacls C:\WINNT\system32\shell32.dll /e /d guests
0 g; y" d7 w4 x. ^; T8 U/ s' w

2 | E1 G: U( F0 X0 c9 |
四.调用cmd.exe7 @8 O, } d9 y3 h

; F% ?3 V& h2 ~ w禁用Guests组用户调用cmd.exe命令:
) T# S2 K( y! ?+ xcacls C:\WINNT\system32\Cmd.exe /e /d guests3 M1 }+ ]) g( W+ C7 {; i. W

' N6 h9 c) d. n/ E6 @8 j6 W) P
五.其它危险组件处理:

8 f0 Y5 S; K8 e$ ^. C" iAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
/ O9 r6 S5 `4 s! |& U1 YWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
2 y+ m2 m. D: |; pWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
5 X# ]0 G9 q) o% C

' B( B& f7 N7 G
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程