[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

/ g& D3 K, ^8 K; _" o) e
( `/ d7 V/ V2 J, }) ?4 b- E7 m9 ]2 k0 |
原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)  u$ X% Y! R5 F8 O# y# F+ c( [+ V
信息来源：3.A.S.T网络安全技术团队
; G% H0 C- M# K0 g防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
+ y2 F1 G, B/ v. o4 ?FileSystemObject组件---对文件进行常规操作.+ @( |! u1 k9 a) r5 K
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
4 t, u! B* l) n5 _2 R7 qShell.Application组件--可以调用系统内核运行DOS基本命令.
3 r  W/ W- @2 x  q* c) B
% V( d2 }% l6 j' I, e一.使用FileSystemObject组件1 J" ~9 M$ P# [

) ]0 T% i1 R- }3 u  n: w! C% h0 m1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
" e  P2 @# M( a) D5 NHKEY_CLASSES_ROOT\Scripting.FileSystemObject\" O) ?& ~' y+ ^
改名为其它的名字，如：改为FileSystemObject_3800* Y% F) Y) `6 S1 S8 i
自己以后调用的时候使用这个就可以正常调用此组件了.% g* x: @+ J- g4 X$ D# n
2.也要将clsid值也改一下
6 H6 w! k+ x; n+ B7 lHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
$ E; d( I% Z% u4 Y3 Z0 F7 x. W% A可以将其删除，来防止此类木马的危害.
  O2 X1 S. |9 u% R3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
* W! g2 B0 w) W! ]3 c" j如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
/ j; R# K- t6 O, M4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:* j" R  P2 `/ z$ w" G
cacls C:\WINNT\system32\scrrun.dll /e /d guests. ~' T4 X% [6 O. W9 m% s

) F% o. G9 A' r, F% w: j
: P$ ~! z2 I! }3 f) v' y) I二.使用WScript.Shell组件  a& V- a# h0 k  u! V

1 X, @0 c: `& z  e7 w6 d
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.  U$ l3 y0 n, x3 F9 K
4 p, [# P2 p+ J, ?
HKEY_CLASSES_ROOT\WScript.Shell\
7 c) {( J- s, i  P7 j  Q' }及
; ^2 }0 a- x  @) K* X7 kHKEY_CLASSES_ROOT\WScript.Shell.1\
3 R! F3 r2 R5 {改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc( m  f2 Q% \' _1 }( _9 {
自己以后调用的时候使用这个就可以正常调用此组件了2 ]# X) c' J* k0 c: m5 l
$ @- F$ c7 O: H- u, x$ g
2.也要将clsid值也改一下
! b5 `$ K0 R  aHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
3 T% x. y( l) O6 w" d4 mHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值' t$ k7 ]! Q! ^, l' ~8 Q
也可以将其删除，来防止此类木马的危害。( F8 F5 k! O2 W- P" i

9 y2 }( a! A7 i8 e三.使用Shell.Application组件
/ f+ \# D& I4 k. R1 h! A/ y

! h2 J* v- {* P3 ]* s
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。' L8 b! K3 m8 Z! K( T
HKEY_CLASSES_ROOT\Shell.Application\" f: f% N4 Y! P) h3 }, S3 k
及) l2 n: x+ K9 K
HKEY_CLASSES_ROOT\Shell.Application.1\2 c* m' G6 @; j$ x: ^
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName: G3 Z2 @% ~" q, w7 z
自己以后调用的时候使用这个就可以正常调用此组件了
' d1 d( l. j- n  @9 B/ q1 P2.也要将clsid值也改一下
3 y" V% B$ h- _" o& S1 N/ |HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
1 n. A# N& X3 r- |+ h* OHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
+ u' a: i# D  H/ M也可以将其删除，来防止此类木马的危害。
! F. T7 T: T1 B+ y- T- C
' n! |# L5 S% h8 A) i3 t5 r* e$ m; l. A3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
4 ~1 z# n; c/ N* y3 Zcacls C:\WINNT\system32\shell32.dll /e /d guests
8 ~4 y, D8 {2 i

, W! J7 M3 L, P' L9 N1 H
四.调用cmd.exe
6 E: s2 k$ i# z( ^/ _- [8 [

' N8 Z! Y8 c4 T2 ~9 \3 u% r禁用Guests组用户调用cmd.exe命令:6 B1 ^' |7 g7 q! v# M  s3 r
cacls C:\WINNT\system32\Cmd.exe /e /d guests
0 Z  V8 ?0 u1 L3 s- |* @

, k6 H1 Q  {. V
; v! ^; r! J/ l2 U3 V2 J五.其它危险组件处理:
8 i+ ^$ N9 a7 S

$ F% O) `0 y6 K
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) % j2 ]) ^( H# v. y. }- d" G% h. C- M
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
1 q5 f2 [" f. i! ], }: Z5 \+ TWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
6 C9 M4 y! W2 N! _' \) U5 s

0 U: P5 O( ?' @% A# i6 |( ?! ^% B. e6 Z& g: w" ^. |) X, {4 _0 F
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
3 V% U: r+ d) F$ z: u. A& b1 k) h/ S& l$ Q; ^7 Q
PS:有时间把图加上去，或者作个教程

在意z

谢谢楼主分享技术。。

小雄

发点图比较容易吸收。。:lol    不过这样也行。

paomo86

学习了……:D

猪猪

哦 学习了  知己知彼方能。。。。:)

saitojie

有控发点图上来对比下

柔肠寸断

我本机测试了下7 M1 x3 a, h, O% |# O4 U( ]. ~$ ~

& X+ [+ v/ F1 K' g* T+ ]7 `1 M如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！