[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

! G% z8 w: K0 i* H$ z8 y
: [# J- e% \( E" j3 z
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队+ J4 M8 [8 R/ {: G/ {$ r, }
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.& V, t! p7 Q" v1 a7 W0 q6 c) K; H
FileSystemObject组件---对文件进行常规操作.* `. A5 Y- d9 g) R
WScript.Shell组件---可以调用系统内核运行DOS基本命令.( L) C& @( t' w; T2 V! n9 S. B
Shell.Application组件--可以调用系统内核运行DOS基本命令.0 p& S- ]9 U' S L6 n
( }) v3 C; U$ \8 d
一.使用FileSystemObject组件 y+ p- x6 j) v, j; B* @- L

3 n8 A& U( U# ?" e' g' y1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.3 k0 P# O+ n: p# o* N( T: X; V
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\, O) ~" q& v% Y' t9 h9 u
改名为其它的名字，如：改为FileSystemObject_38003 u7 C6 T! C0 b
自己以后调用的时候使用这个就可以正常调用此组件了.
3 ^' J( k. B& ]5 `( t2.也要将clsid值也改一下$ b/ k/ O& v" R0 q1 O: A& @5 r+ @! ?
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
/ |, a( n% u. o可以将其删除，来防止此类木马的危害.
% B% x0 F6 c+ a3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll - _6 K( U% [$ w$ J5 b8 G! }* _
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件3 F+ F# R; k2 E
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:4 a" Q" S% I5 d0 E0 c, e
cacls C:\WINNT\system32\scrrun.dll /e /d guests
1 }/ q- a& a5 c4 s' b% u3 H

! F- T4 f) o8 r! j% x. L

二.使用WScript.Shell组件

% Y( |/ z' L4 G+ n1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.; r+ Q2 J$ U: a

3 |3 ]+ A" u" X5 d! H/ zHKEY_CLASSES_ROOT\WScript.Shell\( P& H) y! g% {' M3 k
及3 ^- t$ k  N6 F% j/ w' ^4 o5 x3 X
HKEY_CLASSES_ROOT\WScript.Shell.1\+ |0 [% {1 Z! Z' a9 h* e+ I
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc( M4 c1 A# U6 j4 F4 @9 q; c+ x. _
自己以后调用的时候使用这个就可以正常调用此组件了. K0 T0 f2 E- |5 A2 H
+ |% K) R  r6 a# L" I
2.也要将clsid值也改一下9 V0 {7 q/ s- N
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
/ F1 [. k8 Z! w- x+ X& jHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值- i9 Z, w- T3 R/ s
也可以将其删除，来防止此类木马的危害。) F) E8 q3 s/ E  }

, I7 ~& f" s4 V7 |8 _7 w* S$ S
三.使用Shell.Application组件8 h/ L' E. _3 U" G6 i0 u9 T1 `/ S* _

4 d9 K% L+ l3 \- |* j4 D4 @/ b% B
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
$ x. D* R3 x* d9 o, I# G, P5 `HKEY_CLASSES_ROOT\Shell.Application\
4 g* D- P9 Q1 z) ~) h  ~及
- @4 s( Z* V" dHKEY_CLASSES_ROOT\Shell.Application.1\
5 P& V7 I7 l4 g; @改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName0 o2 X3 R2 X7 Y& f1 `6 G7 }1 N
自己以后调用的时候使用这个就可以正常调用此组件了
( f% }0 `3 F5 @4 N  t  j2.也要将clsid值也改一下
9 K3 m% P4 B2 d3 Y* b/ w# h) n. EHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值- o6 H2 v! {3 g  L. ~. }) X  y& [
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值4 x9 L8 v  C* K  Y; e$ A1 }) P
也可以将其删除，来防止此类木马的危害。
" t5 E) H: ~6 Z) P
) c& \4 A) H" q; E3 B5 S: N' v4 Q7 [3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
( J$ k7 e+ ]! G4 H" n2 Y: J3 R' Lcacls C:\WINNT\system32\shell32.dll /e /d guests
8 ~3 b; T6 a$ U) {  {8 {0 X2 o

5 K* ]5 B4 u% y7 m2 J
四.调用cmd.exe

; [- O2 \3 `% O( ^( @/ b禁用Guests组用户调用cmd.exe命令:8 n* M7 g/ ^) a' v8 I% f9 T" G9 D
cacls C:\WINNT\system32\Cmd.exe /e /d guests- y7 X% W+ f; O

五.其它危险组件处理:

$ h* ?5 ~/ {; x7 r1 T8 e
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
9 m' X# }0 C- r2 TWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
4 U7 u% t+ P6 p8 N2 m! ZWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
! a' d. t" t9 c

8 M2 e8 I9 X! M# @- e% K, J
% n2 b6 Y$ e# q
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程