[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

9 }& _, o- q& e. F  C0 J7 P& P- O' Z# a

5 x+ h+ a4 r3 Q& H6 U+ m原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
! A& z( U: q# Z: x! S6 y信息来源：3.A.S.T网络安全技术团队, Q' a0 j! h1 G7 ]
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
& |. Q" V$ O6 qFileSystemObject组件---对文件进行常规操作.6 Y- L2 N& i' A; [# C7 A
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
8 P6 x+ j8 B2 n1 w/ [2 p  VShell.Application组件--可以调用系统内核运行DOS基本命令." }" n# B% G* |# I  V0 y, {3 F, Z% E

) \0 x, l- x. K0 X, f7 e/ m一.使用FileSystemObject组件. L0 f2 ~* a* E! h) U7 h1 a* K% K

5 q8 s5 I* A6 J  p" q3 m# O1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
6 d* h( s$ ?7 l' XHKEY_CLASSES_ROOT\Scripting.FileSystemObject\+ \/ N# v& D1 k8 j% ~
改名为其它的名字，如：改为FileSystemObject_3800" t5 G9 u  m3 s, k7 O, g2 C
自己以后调用的时候使用这个就可以正常调用此组件了.- h' N9 W" x2 `6 m+ j" k
2.也要将clsid值也改一下% ]5 H( g; n7 q  A* @
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
2 Z. \0 J: g2 Z- N7 h可以将其删除，来防止此类木马的危害.8 A( \& h. V7 k7 D5 P
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  - J+ V2 P; ]* x' D5 @' W
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
, y" k5 V# [* L9 U. u  W. s4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
# D. l4 i5 _0 X  l5 Wcacls C:\WINNT\system32\scrrun.dll /e /d guests
( N, t6 k/ B9 }4 ]5 z& `

* x, L; `4 Z; p+ _0 L' N
$ E1 E/ o, |) j, k+ N' h
二.使用WScript.Shell组件5 t' @5 I# X& m6 z: T

- \/ G& u6 ^1 w
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.. o) S( P: W4 E# D! K  j4 q

1 \# C+ o, j2 ?* v1 `HKEY_CLASSES_ROOT\WScript.Shell\& t# x3 R" M7 e! N$ Q
及
% O- z6 F+ V& l( {6 p0 ?HKEY_CLASSES_ROOT\WScript.Shell.1\
, o" K# J4 f( \3 s! c改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
! ]! \; C( c% M5 W: ^自己以后调用的时候使用这个就可以正常调用此组件了. f/ H0 }! w5 \' n% b" b

2 q# ^' I" {; L1 c# r2.也要将clsid值也改一下
5 j& W. x1 d; Y& d7 |3 ZHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值6 Y) r' O+ i8 ?# B1 N; v
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
! q  Y9 W1 E0 a4 X0 V( T6 l也可以将其删除，来防止此类木马的危害。
/ o/ s/ q  c. ?

1 P2 t0 U* G4 B1 U/ f+ X0 V三.使用Shell.Application组件
  s0 q9 @4 S+ ~0 l& h* r( x- I8 p. o, }

" {+ @0 p1 f' V3 I- {
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。1 g/ y  ?  p+ J3 p5 M1 S  U1 {* n
HKEY_CLASSES_ROOT\Shell.Application\
0 T1 |# [& x# S/ x, B7 \及
) _. _0 T" x' L& F* O# W7 xHKEY_CLASSES_ROOT\Shell.Application.1\! ]8 [) i: m+ C
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName! H; X& r3 n0 B+ E8 K  U$ ?1 [* M
自己以后调用的时候使用这个就可以正常调用此组件了3 l/ }+ Q" d! P4 q$ t
2.也要将clsid值也改一下
$ d. d; i* {3 g( ?  n1 L, n2 S( OHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值" ]; |8 m: v- g% k, O
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
$ x! ~! t& }0 W5 K: V# z5 O% ?8 |也可以将其删除，来防止此类木马的危害。0 \5 \/ I0 L  s6 h5 i( ]- d7 e5 o

9 s3 c8 Q! {2 z3.禁止Guest用户使用shell32.dll来防止调用此组件命令:, u  s( ^  g/ O) U
cacls C:\WINNT\system32\shell32.dll /e /d guests
% a0 s2 e! j; ?

5 r* f' |2 n5 m7 j2 K2 S) a3 o
四.调用cmd.exe
- q( g1 ^6 q6 N5 o; O. S# a3 o

; M  b# @# }. n
禁用Guests组用户调用cmd.exe命令:- W1 N6 n  A3 z  ^! o
cacls C:\WINNT\system32\Cmd.exe /e /d guests. w7 ?8 e' V: X2 G

) `3 r* i; Z+ D+ p: m1 g/ Y

1 J7 [0 i- P7 y五.其它危险组件处理:: J" R' {% \( x8 l& K# L

' n% k7 S1 {+ K6 W# a1 A
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) * J1 C( R1 n# t( o2 f" R/ P
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)+ @5 P* {' y9 c& t  R
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
% p/ J4 V# J; h1 B

8 S3 U$ E; [# d# V- b0 I
. a. }( r4 E) }1 b按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
$ a% M! q9 U6 v- O
/ ]7 j8 E7 Q9 q; t$ x( NPS:有时间把图加上去，或者作个教程

柔肠寸断

我本机测试了下7 i( t" n* B8 V7 v/ D

9 f* C$ i4 E# D8 Q% i( I3 s2 o- M. k如果更改了相应的组件之后，ASP木马就完全打不开了