[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

7 K& E% [! o) j3 U, t. {

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队% m" Z2 ^; [% m
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.. z1 c$ {3 E' v' g
FileSystemObject组件---对文件进行常规操作.# ]! h, o3 d1 B+ T2 i% L) J! D. ~ ?2 w
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件

) w5 Z, }! q) a, ^( j
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
5 f6 m8 |# r5 }4 i' C' d# {5 NHKEY_CLASSES_ROOT\Scripting.FileSystemObject\3 O9 I2 w" [2 q6 d4 }
改名为其它的名字，如：改为FileSystemObject_3800
1 Y. F& I$ i: d自己以后调用的时候使用这个就可以正常调用此组件了.# ~: i* {- j1 E& ~3 k& I
2.也要将clsid值也改一下
" e! P) N( L% o, i3 K7 uHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
" _! _8 G$ x {2 J0 z7 z可以将其删除，来防止此类木马的危害.+ X. f4 S8 @- r }, }
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
- H5 c- v9 G' d如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件9 J2 D3 @; P& k9 N
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:, C: G( F8 w2 ^" u" l& A
cacls C:\WINNT\system32\scrrun.dll /e /d guests
# ^( T$ L3 Z: I9 z: ]

) }" Q, R+ y) e
二.使用WScript.Shell组件8 H. D4 z( W: N! E

?( W2 L* Y9 F" n" v+ H
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
' c% s3 y( m( T9 @" x8 l
1 v, K/ Z. Y) W: p9 p, t; L5 cHKEY_CLASSES_ROOT\WScript.Shell\
) i$ ]: S. E4 P: N% Y) I: G/ }及5 L1 L: y/ [( O0 [) O
HKEY_CLASSES_ROOT\WScript.Shell.1\
) g$ s. I$ y: v5 @( B% ?8 r改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
# Q* e( h' L: e9 y# I( a" _4 K& y: e自己以后调用的时候使用这个就可以正常调用此组件了, K4 Z: I5 x- M! Z

2 Z. P% Y9 t, f8 O0 F7 h2.也要将clsid值也改一下
+ N( i4 r0 c! rHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
( O% i# |4 Y( ]7 r$ j7 ~HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
* d ]& ]$ s0 Y9 ?' ?8 |+ `也可以将其删除，来防止此类木马的危害。% x! j5 _ }: b/ T7 i( M

三.使用Shell.Application组件

* a5 _( Y& t3 ~# d, R+ r9 u! w/ m4 c
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
( N; W6 J% O+ V: D% [$ vHKEY_CLASSES_ROOT\Shell.Application\& A: `: Y8 \7 q( f9 U
及
$ X# J! Q& |! r* t( ~% KHKEY_CLASSES_ROOT\Shell.Application.1\& g; ~6 |4 d& U" _$ o4 B$ ^
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
[9 L/ T9 K! P0 X7 l8 b" B1 A自己以后调用的时候使用这个就可以正常调用此组件了+ N& ^, m* h. |* `' F/ h
2.也要将clsid值也改一下1 y# ^- T2 N6 m4 l2 y& r2 b
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值' c# n% l$ }% u7 z* r8 z
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
: V. i: a& w( ]7 `' h/ P6 m也可以将其删除，来防止此类木马的危害。! {% Q' C/ I- l0 j& W O6 S

) u% o$ o% I; D1 _) t) q3.禁止Guest用户使用shell32.dll来防止调用此组件命令:' l9 T5 [1 D8 {: _7 G8 `
cacls C:\WINNT\system32\shell32.dll /e /d guests
, T% D8 T6 z: \$ e

. ^4 q/ a$ [- W) f0 p8 p1 L
四.调用cmd.exe

" y/ J2 R D8 \
禁用Guests组用户调用cmd.exe命令:6 v, }0 y9 f" {6 ^3 c
cacls C:\WINNT\system32\Cmd.exe /e /d guests
+ E) ^! s! p! z2 g1 E- \! K- Q7 D

五.其它危险组件处理:* O* `7 i' y, H6 T0 b0 ^

' H7 ~' X: I/ E+ LAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
, T' S- P6 @" s5 O( H7 TWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)$ b# E2 |$ `" {( J9 f' }
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)4 x8 G4 k8 J% ^/ c

2 U0 T3 P8 N) b$ u% h5 I
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程