[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

4 a0 K7 [8 ^& L, r* ?$ u/ k7 W
) G9 @* v. Y4 u+ N7 K( {
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)  ?7 N) d; c8 L
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.' Y9 E4 ?  F* @5 j
FileSystemObject组件---对文件进行常规操作.9 {! Q* t. G2 z& T, _  d6 U$ }
WScript.Shell组件---可以调用系统内核运行DOS基本命令.2 @' J% x" J1 T2 E) [$ F) t* ]/ M$ u
Shell.Application组件--可以调用系统内核运行DOS基本命令.
1 j" a* f) G! X/ Y; Y( x* x8 J7 k
一.使用FileSystemObject组件9 o* {( I# n: o) z- }9 l

# l9 ?1 X2 Q* b; J9 p2 S- f1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
6 m% b! V2 |6 `9 v" dHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
! ^# S. j- V# {* O+ c2 e2 }7 F改名为其它的名字，如：改为FileSystemObject_3800
" s8 w9 x2 X, B  H自己以后调用的时候使用这个就可以正常调用此组件了." |& E% t* ^0 g( m! x( a
2.也要将clsid值也改一下
5 _' f$ k; J- ?- ~" ]HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
2 g; o1 T; A$ {+ n) n& x. z* y可以将其删除，来防止此类木马的危害.$ n: R+ r; V& }6 I1 D
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
% |1 r5 Q& @0 @如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
1 b5 l" K9 S* C6 [* h, w" J4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:$ c1 p. a: t" R0 |4 J$ k3 E  G
cacls C:\WINNT\system32\scrrun.dll /e /d guests
" H1 ]0 v; f: H' c' u4 \/ D

二.使用WScript.Shell组件

! ]% P$ \$ R% v0 e
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
; Q* e) F  ~+ u/ Z* i8 t' K3 m8 F7 x. B+ ~1 }6 U
HKEY_CLASSES_ROOT\WScript.Shell\* a/ r: n1 i6 v; @4 J
及
7 C3 X( E; `6 QHKEY_CLASSES_ROOT\WScript.Shell.1\
! F8 y. A" @0 u- s% e) H1 o2 ^改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
( w( y( _, r  s  f自己以后调用的时候使用这个就可以正常调用此组件了
6 I8 y$ s; A2 Q' a  V  ~3 ~& L+ p2 G- e8 z
2.也要将clsid值也改一下) e9 y: Z  D$ g+ z: \7 Y$ K
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值& X/ I$ C! d1 G1 J) N2 J. D
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
0 q$ e  s/ A: J) U' h* p也可以将其删除，来防止此类木马的危害。
0 L- N4 I3 K9 l9 o4 u, [

& w. d8 W; F t# k+ l- J+ M# h
三.使用Shell.Application组件4 l! _ Q1 o0 u e/ s0 O

# q) h( _2 Q+ u
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
& W5 i: h n; {) E6 I! zHKEY_CLASSES_ROOT\Shell.Application\
* J) J7 \. @; U8 \) \0 ?及
7 g, R7 H' A( QHKEY_CLASSES_ROOT\Shell.Application.1\
* V! ?# N* a$ G改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName! H# o( r: z1 o
自己以后调用的时候使用这个就可以正常调用此组件了
: O, \ t1 `- A# z& W2.也要将clsid值也改一下6 F" k, @" W% {( x; y$ J
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值6 u. O0 n! }) O
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值9 W/ X+ R0 U7 F$ a4 j
也可以将其删除，来防止此类木马的危害。" R3 Z- u4 e# I; Y2 E# G: D

% E4 A+ p3 q; O4 j7 F* q3.禁止Guest用户使用shell32.dll来防止调用此组件命令:* y& X) V3 Z, Q0 t. k
cacls C:\WINNT\system32\shell32.dll /e /d guests
. ~* y- g# E5 v3 H4 Q

5 W" R7 o) {/ ]2 y# z J1 E. Z6 _
四.调用cmd.exe8 {/ g% z3 P' J d- O& O

6 C8 [- }& ~+ C禁用Guests组用户调用cmd.exe命令:" s0 z& `" \: D7 {. a, Z R
cacls C:\WINNT\system32\Cmd.exe /e /d guests4 x/ }, m1 n; m+ O

% {+ P2 q; z" b1 c& c

五.其它危险组件处理:6 u& z6 ^6 y% s4 v5 t

* N+ |) r5 C2 R& W1 u5 KAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
- l. r! s/ M, I' K/ |WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
% U) D& w% V3 ]5 q( p& qWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74): f9 }5 r: P; Q' S6 t* _

( m4 W$ w7 Q! W% E
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.8 Q; L! e( J5 U* p4 w: W, j
, t* j; l$ Z# `( e) C5 g, q5 @% U
PS:有时间把图加上去，或者作个教程