[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)3 ~4 r, u. W: b+ Y$ ]
信息来源：3.A.S.T网络安全技术团队$ S2 h4 o; h4 X- M r
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.8 [! p% \& P4 w
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.& G! f/ U3 C6 N7 c+ e9 V
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件 A, {! D1 ^ X4 L7 y

! a% a9 A% @# o$ o3 i" B1.可以通过修改注册表，将此组件改名，来防止此类木马的危害., B0 J  y  T) A' R5 O$ E8 y# S
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
  E( {9 p' S, ?  \7 l改名为其它的名字，如：改为FileSystemObject_38003 z' p/ w% g% t1 ^( D5 i- @# l5 W* M
自己以后调用的时候使用这个就可以正常调用此组件了.
9 d8 ~3 q, i4 {$ z, [* j; H2.也要将clsid值也改一下
" {. V% z- e, z$ V4 b7 h7 dHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值7 F4 Y2 C3 D: k8 y! u
可以将其删除，来防止此类木马的危害.5 D3 H5 {) B. @
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
1 V; B. v! J9 ?8 M/ H/ @如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件4 [) u. {$ |# z1 g7 V
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
5 P" R2 ~! C7 [cacls C:\WINNT\system32\scrrun.dll /e /d guests2 |) D# R9 q9 P

: j2 \4 g( a0 I1 q
6 [* M; G% x9 _+ D) w) c3 ~5 T
二.使用WScript.Shell组件

" s  h0 G* W# l6 l/ V1.可以通过修改注册表，将此组件改名，来防止此类木马的危害." m" p. s) A" N) A$ E% K$ B
( ]' N' G3 O& a6 s3 N( |$ S0 I
HKEY_CLASSES_ROOT\WScript.Shell\
# W8 G' K* h; z8 t$ }% H及% l% B8 ?/ o! p# l
HKEY_CLASSES_ROOT\WScript.Shell.1\$ V& E/ R% J& \) H3 y. l+ y2 k( d
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc0 d$ a; }* U& a/ a3 M5 \
自己以后调用的时候使用这个就可以正常调用此组件了
! q0 g! }$ Q1 q& ?" s0 o
. t+ x: B2 R) k# A. i  [% e2.也要将clsid值也改一下5 V: P7 o$ q1 Z2 _8 q/ n
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值" c+ L. ^  M9 a; a( C" z
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
  b- R0 m2 D7 J- T3 }( n: k& X也可以将其删除，来防止此类木马的危害。
9 B) j6 q& v! E$ H1 [' \: O5 L

三.使用Shell.Application组件1 l) R: |" J- l- H6 K/ V

- Z3 s4 Z; `. {) W1 g; P4 N
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。2 V+ d( ^1 k8 P1 C' \0 M, U' A' @
HKEY_CLASSES_ROOT\Shell.Application\
+ S/ z" T: y+ R: P及
; y, }" P$ A0 E, m. AHKEY_CLASSES_ROOT\Shell.Application.1\
6 Y+ \+ n9 M3 N# T改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
2 k2 a: @4 b- d9 @6 S自己以后调用的时候使用这个就可以正常调用此组件了
) {4 p' W& F  ?4 ~2.也要将clsid值也改一下
1 E+ s3 j2 Q) X. \0 _HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值1 |: f# l4 V  B  L: f
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
' m" Z. l/ P( i4 _1 j8 v也可以将其删除，来防止此类木马的危害。* r1 Z. Q& ~& j

) {! H3 f; [3 ~7 F; M1 T' l3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
$ P) |8 `8 I4 Kcacls C:\WINNT\system32\shell32.dll /e /d guests* w% B- v- |  L

四.调用cmd.exe. O4 k N0 K6 ]# ^& x& s/ @" f

9 J! U3 ^6 B. |1 f: a# X禁用Guests组用户调用cmd.exe命令:6 C" j& \0 c# C! v" r
cacls C:\WINNT\system32\Cmd.exe /e /d guests
# [, l: {$ {( r

, D* F* l2 ^$ X0 i7 D4 m6 O* A% d4 z
五.其它危险组件处理:

I- S7 v# v6 d9 v: g' |
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) * E8 H1 P3 `6 \# N+ l, z# Q) e
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)$ F) U* S0 t# n: u1 G0 w2 u3 y
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
- W& w" q8 |1 C, W

: [# a$ `2 `! W% W5 L d7 n3 l. b
- `5 n- j& O. q B4 y% A7 p' r7 H
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.! j. R7 p4 f& x( W

PS:有时间把图加上去，或者作个教程