[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

- y5 C* ]8 _$ c; d |% f
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队/ g7 S [9 [6 s8 a3 ?
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.& k: Q: a, @+ F
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.- `3 A0 N$ ^4 t! t
Shell.Application组件--可以调用系统内核运行DOS基本命令.8 P5 y& v; U; c3 l6 v3 m
6 {, }( p5 z% |, I% a! |' c5 n
一.使用FileSystemObject组件) [0 t% L$ D8 T, ~: k/ X, A0 m/ z

7 X- u3 R$ G/ G- o4 h4 ^. u
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.) ^3 j" ^" |" i& h* K3 W# W) o
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\- X$ }7 z. z4 P3 F. w4 Z/ J
改名为其它的名字，如：改为FileSystemObject_3800$ r. f8 F+ g! w2 O
自己以后调用的时候使用这个就可以正常调用此组件了./ u; E# C' B; C7 |* V2 u. N( p
2.也要将clsid值也改一下2 W, K  i* R5 q
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值: I5 s( L( e4 S$ k1 ~
可以将其删除，来防止此类木马的危害.
: k% Z  ^1 g* |8 G' n3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  4 C6 e1 v! K3 p; m
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
  e1 Q& n! j- P7 x) f# G* O7 s. {4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:" [3 @0 a1 \& |" t- ?1 `- o
cacls C:\WINNT\system32\scrrun.dll /e /d guests; g3 k! I% D9 t% c; Y% \2 G3 |6 P3 L

0 h: A* }) \, J6 N$ V8 n/ ^

二.使用WScript.Shell组件5 \6 ?4 @0 {; @ E" S7 T. W6 h6 p

7 y. r- `* }, s* f9 D/ E/ M
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
* L, z) c. N* V6 s
# ?! f; D) e @+ F3 y- THKEY_CLASSES_ROOT\WScript.Shell\0 p) A1 K/ ?/ f' }- E, H
及8 Z& M. [* z2 t6 f3 [* t
HKEY_CLASSES_ROOT\WScript.Shell.1\7 i5 }% X6 `. R
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc* J* \8 }7 F/ L9 y# V
自己以后调用的时候使用这个就可以正常调用此组件了
2 K9 P$ e0 q* q6 w& [& M
/ p0 [9 F# J- n7 s. Q( @ ]. g2.也要将clsid值也改一下5 `1 v r, T" @1 m E
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
, o; u0 ?# \) Y, I% THKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值! ^8 V3 l/ Q# y) i5 u" Z4 @
也可以将其删除，来防止此类木马的危害。
7 \' M, O8 w3 Y( @) i% ?

- E' N3 H! i Q# o/ V# Q' z; @/ i
三.使用Shell.Application组件

( f( N7 P) R: W% `1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。! O; U2 `* O6 |# Z+ @7 x
HKEY_CLASSES_ROOT\Shell.Application\$ z/ S  W* @+ y$ P0 c+ Q5 ^; m3 n
及. O3 C+ I0 W# h2 M, V. C
HKEY_CLASSES_ROOT\Shell.Application.1\
1 b# A  l6 o3 W3 n改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
/ W( Y, `) @" S  I7 b& p自己以后调用的时候使用这个就可以正常调用此组件了  v" d' W+ R. [% r/ S6 m4 j
2.也要将clsid值也改一下7 R+ Y3 Q: _, K$ J: I! r
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值/ i& f+ I* B( `" M. o: B' F
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值- O1 O5 q% w7 o
也可以将其删除，来防止此类木马的危害。$ F8 \* k( `, L" j. g* v% K
. x2 o- z) b+ F# g+ l; E- l
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:7 G- L2 O% r5 v3 o
cacls C:\WINNT\system32\shell32.dll /e /d guests) D1 j  u. C  B% J( A

四.调用cmd.exe

& \6 j3 r7 `5 W: s禁用Guests组用户调用cmd.exe命令:! z# h6 m* s' T5 n2 L9 S4 K, i
cacls C:\WINNT\system32\Cmd.exe /e /d guests
: W3 R3 h' ]6 e9 n w

4 z2 Q& B: z7 y( B% P( P( p
五.其它危险组件处理:

8 u) ]* u: h3 r8 c
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
. [# r [# R( q4 A# I R+ ~# CWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
0 a4 b" r) ^9 Q

/ j9 y2 J+ B) n( j+ T8 _- N6 g
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.* `5 w/ C! b- B- K- G) d4 t9 T: @
2 b( O6 |# Q- Q2 O8 }
PS:有时间把图加上去，或者作个教程