[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

7 }1 _. N# ?+ U, ~
0 X- ^( |7 e8 d2 `# S- r2 ^: \
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.7 {, ]/ @& c) v" T" D
Shell.Application组件--可以调用系统内核运行DOS基本命令.; T( |. X) k) A7 J" M

一.使用FileSystemObject组件

) N4 n0 e# h' n
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害. {4 F* ~, q4 ~ t1 _
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
: V2 C+ r6 @- \7 e! B: G" `. }" R) L& C改名为其它的名字，如：改为FileSystemObject_3800# }# t- l9 m. z( X# i
自己以后调用的时候使用这个就可以正常调用此组件了.
1 n3 t7 r$ b9 m" c6 b2.也要将clsid值也改一下
8 R1 C9 w4 _( V8 E, p& |HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值8 R: F/ I" P8 U, g2 R6 c3 L2 J- d3 V/ l
可以将其删除，来防止此类木马的危害.% R9 d4 c% y6 ]) x( ~
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2 m& {; S: v- }2 k. a如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
: E0 S/ i- {4 F& [# M7 p6 B4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:) `, S( x5 v$ V8 A
cacls C:\WINNT\system32\scrrun.dll /e /d guests% H# J: Z7 E9 R, Y4 b

- d% D( S; t2 R. s( y0 Q
二.使用WScript.Shell组件/ d3 ~* l+ a! x' r% C

0 h$ V! f* Z& i6 k- h1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
5 {' m, X4 z( V6 r+ c4 ]& I$ q8 c; B
HKEY_CLASSES_ROOT\WScript.Shell\& T+ x, f5 D8 W, u
及
% d- h K) U1 `0 Z3 F( B. v iHKEY_CLASSES_ROOT\WScript.Shell.1\
& E$ a0 `0 g8 B9 d改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
3 F* _9 L( a$ P+ o% t6 w" l自己以后调用的时候使用这个就可以正常调用此组件了0 i" J l. a" ~8 I1 y# u
+ h- m) O/ q3 J4 t% P( {
2.也要将clsid值也改一下9 O- p+ z7 A; R# k
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
6 K5 x9 ]/ r# V, uHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值' w; l! H& s$ M0 T. x
也可以将其删除，来防止此类木马的危害。
8 y" I, G6 {# e

三.使用Shell.Application组件" F! A2 a/ l$ B) Y1 T4 R# l

( P& Z( q( v; n' B7 P1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。& h+ ?: @# `! a: C+ X
HKEY_CLASSES_ROOT\Shell.Application\% H+ k3 C- s2 _9 V- |% Q* U( D
及
7 m$ `1 u& e0 n% z9 `' ~7 rHKEY_CLASSES_ROOT\Shell.Application.1\/ t* }* E; j8 l3 Q
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName- q) m& t/ c$ j& s+ E! i% P
自己以后调用的时候使用这个就可以正常调用此组件了
2 }6 T: p+ X; I& ?( T% p2.也要将clsid值也改一下1 `0 \& x) s, z, |4 I m% N
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值; F, @+ \0 ~" u
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
, t7 t0 V% C6 y8 j6 O# _也可以将其删除，来防止此类木马的危害。
6 ^2 R. z% X' _* a( x5 y6 @( A: T1 Z$ V5 ]/ E$ [( u g
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
! U4 i2 y5 V) |! _, q+ B: C2 Acacls C:\WINNT\system32\shell32.dll /e /d guests
0 y$ w& [/ n9 C. r; N& Q

4 {: ^) N# Z4 p' _# t1 c
四.调用cmd.exe

. R# v3 y) s3 [. e6 a% [
禁用Guests组用户调用cmd.exe命令:/ c/ ^1 S& o& ^4 X$ V$ M
cacls C:\WINNT\system32\Cmd.exe /e /d guests
8 d7 `! I+ `; `# c( O# \

6 n6 E3 d- Z2 ?3 T* f
! E6 S4 D: d0 r" r# M
五.其它危险组件处理:- O- z4 `! x/ d! W

. g% k3 ]9 [7 n7 {. a- I2 W
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) * K4 x: r1 i' L
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74): x* b1 K7 h7 A) b, Z5 M8 g
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
2 ?7 S( D% N; ` ^! n

8 \ _3 G' X8 ?4 G4 [
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.4 X/ P e8 Z8 R0 g6 q

PS:有时间把图加上去，或者作个教程