[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

# Y; G; N, |5 }7 `6 A
2 E8 |6 ~& R. Y, m
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)! R* m% j7 U; [1 G3 }3 H! I
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.! {7 N" g/ E5 q% R3 C. f- A
FileSystemObject组件---对文件进行常规操作.5 J  r) U0 h& Q! m0 B
WScript.Shell组件---可以调用系统内核运行DOS基本命令.) W4 B2 ]0 X* e+ t! X1 _
Shell.Application组件--可以调用系统内核运行DOS基本命令.
% c/ t3 j$ i% o4 ^6 @: Q" [9 }  j
一.使用FileSystemObject组件, s0 \  i5 {# ~/ Q& M8 J! X

6 O, |% [* T5 y6 ]1 c: c% F4 c1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.3 K# [6 t; V+ w4 N, c" b
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\$ X8 h* f  `- _. Y! Q1 J2 Z$ L
改名为其它的名字，如：改为FileSystemObject_3800* B+ o" |9 ~  T; m) G/ \9 [
自己以后调用的时候使用这个就可以正常调用此组件了.
. {- h3 S9 Y5 s3 y2 o+ N& T2.也要将clsid值也改一下$ c) X' z( }4 v& g9 U) ]  Q
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值; S5 S) b4 w+ M8 E/ K* z3 c9 y
可以将其删除，来防止此类木马的危害.% s- b% O' \, l, u9 X( F
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  " @1 w% ^8 {2 y1 j! Z
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
$ @& c( P5 `6 H; L+ {; K# w4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:# u# v3 x+ K  M8 R$ P) S
cacls C:\WINNT\system32\scrrun.dll /e /d guests
( Z4 i4 k; q$ P; c6 |6 }8 C

$ E0 l W' o* q: `
4 M* h0 F2 |6 I0 @1 j, e
二.使用WScript.Shell组件) {9 u3 N6 L* L$ W7 a" u! @, `

% J- J( G9 B7 ^' q/ K6 m/ X1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
1 `' X1 d- L" G8 ^7 J5 B$ s1 N/ g6 t) r) h6 u  k
HKEY_CLASSES_ROOT\WScript.Shell\* a4 O/ L" i; ?3 k- f# ^
及$ \# D1 \9 `  {  H. q' v
HKEY_CLASSES_ROOT\WScript.Shell.1\
* ?5 u0 s1 S) j$ e4 K! {7 L改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc5 r* E5 V* b1 N
自己以后调用的时候使用这个就可以正常调用此组件了
* z( R( T8 O1 |" ?/ p' |( f
: g. T* A* V* N# q2.也要将clsid值也改一下; K6 D' l+ I" A. }6 W% Z
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
+ m0 t7 y- x/ S$ vHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值+ }! ]" p  a. z2 L- U) \
也可以将其删除，来防止此类木马的危害。8 J2 k* \) ?& R" S) |. y3 x. d

三.使用Shell.Application组件

8 ?. U- H& k8 |2 j1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
" V8 G5 V8 V2 N2 c8 S( R4 xHKEY_CLASSES_ROOT\Shell.Application\# F8 ?  n+ j- X0 ^1 O- Z! ^
及
" S7 I5 z9 W+ m# b7 A7 XHKEY_CLASSES_ROOT\Shell.Application.1\9 [+ k3 c, `, Q! k
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName% n% [& D7 @+ q1 b; B
自己以后调用的时候使用这个就可以正常调用此组件了
; u* X2 W$ ]( }) w0 l+ o2.也要将clsid值也改一下
3 t3 S( [4 H5 Y( n- F4 M; lHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值: @, `0 r/ J: L% }. E9 r  Y3 K
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值( @$ X4 d* H) \5 u) y
也可以将其删除，来防止此类木马的危害。
2 X  F8 r% O0 r9 S( x- n% S1 R2 j5 ]. z
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:5 Y" y( R% e% [* m
cacls C:\WINNT\system32\shell32.dll /e /d guests
- P+ P, D& b# F, j; ^7 H

四.调用cmd.exe) L- h4 N9 E2 l$ V

- I9 l4 b9 H& \8 X禁用Guests组用户调用cmd.exe命令: y* M4 P! y) c0 _% K6 C
cacls C:\WINNT\system32\Cmd.exe /e /d guests
9 P9 O6 w+ t: y$ F- ?

; l7 R7 [! l' E2 x7 P+ ?

五.其它危险组件处理:

( M g0 Q0 \& i. [; G) c
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) ( u1 n9 D0 z" [/ w+ W" }
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)# ~; [2 _7 V0 X! O7 v
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
3 i0 E8 t6 u/ w) x

6 m8 Q }) k. b& [% c- m. Q$ n
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
; G$ m+ V2 Q U
PS:有时间把图加上去，或者作个教程