[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

5 V( q9 K1 r- E; h
5 y5 f- @* ~- r, ?* g- c
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)5 S1 d3 Z D* J# {: q) |4 L
信息来源：3.A.S.T网络安全技术团队' _; M8 t T9 A" S* i: V- e
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.# B2 K* C$ {/ s# I
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.6 t. p; z3 z5 ]& q, Y
Shell.Application组件--可以调用系统内核运行DOS基本命令.
* o! H* n: v6 J- G% R+ b
一.使用FileSystemObject组件, }8 f3 B8 t4 b0 A

' ^1 H6 J# v  \
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
5 e" b# o- ?# q( y/ ^, M+ eHKEY_CLASSES_ROOT\Scripting.FileSystemObject\  u' N2 v; O- B* [
改名为其它的名字，如：改为FileSystemObject_3800& x$ J2 K3 u; C" E% t; J" B
自己以后调用的时候使用这个就可以正常调用此组件了.2 R( e3 {9 Y8 N, c' Y  Y9 v
2.也要将clsid值也改一下' M' ~, b% w; ?! p% U
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
- {* H) v& Q% v1 j8 s# ^5 s( W5 V8 t可以将其删除，来防止此类木马的危害.6 M9 {2 `% G( n, s
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  1 q% g  B: N1 E# k+ I; [
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件" R" o8 z& Y3 g! N
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
7 X+ @) B- I; N: ?8 X0 b: [+ I4 [7 M0 @cacls C:\WINNT\system32\scrrun.dll /e /d guests
- `4 }/ i* o6 Y) Z. ~5 ~

- p2 k6 [3 `; n* m, M

二.使用WScript.Shell组件. J" [) t5 H3 p, g

/ P% [* Y( _7 y2 C1 E1 W; `1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
& d3 `4 v* f; Y) S4 V B' g" _9 j6 N% U5 k) g& d# o
HKEY_CLASSES_ROOT\WScript.Shell\
& X' X7 v& C3 |9 \- h及! K# V% ]/ I: Z! S5 x2 x
HKEY_CLASSES_ROOT\WScript.Shell.1\* _; @8 p4 H1 H; O4 u% `# \- U0 X( n6 D
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
' s6 Q+ u# `" ]* d3 \. a. I自己以后调用的时候使用这个就可以正常调用此组件了( h0 V9 G7 x5 X' I- |6 Y
, V7 [9 q z* X$ k. D
2.也要将clsid值也改一下6 v4 Z+ I* }1 \# a
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值! R( Y7 m, o% _# C( D- E" K' \. E
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
$ g/ ]) y- F# U9 ?也可以将其删除，来防止此类木马的危害。7 C' J, ]; Y9 l

/ L, T" N8 ~( r ]3 c+ W
三.使用Shell.Application组件2 g" u- _' f- G6 k

9 l9 }7 r2 }: K: G0 W1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
4 U# u' D- _5 v, Q/ MHKEY_CLASSES_ROOT\Shell.Application\- A  V% n* e! {4 S! {
及
; n+ g! d! x* ]& |' Z$ A1 rHKEY_CLASSES_ROOT\Shell.Application.1\: h1 `6 \, T' x9 w) r% s4 E
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
& V) H0 s! f5 x: k& g自己以后调用的时候使用这个就可以正常调用此组件了
, |" {0 T. V) Q0 }5 s* I4 E2.也要将clsid值也改一下  T2 N  p' ^( m$ g: f$ ]
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
% o" h2 n- }# r3 \# C; Y4 b8 V+ l* cHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值3 v* G  }) s, p' ^- N; S2 u. ?  u
也可以将其删除，来防止此类木马的危害。, K& c, c- {! m' m) O9 i

1 P$ L7 L. z8 l$ b; q% h5 t" ~4 F3.禁止Guest用户使用shell32.dll来防止调用此组件命令:0 H4 }2 i4 f7 ^% X3 J$ K
cacls C:\WINNT\system32\shell32.dll /e /d guests# [/ j: X) r# `4 e! Z9 r: w

1 e l) j; c4 N3 d5 F8 o6 c
四.调用cmd.exe" a$ d8 Z; Q6 j2 I' Q

5 `/ o6 h- f4 e6 ]7 y禁用Guests组用户调用cmd.exe命令:/ m0 d. A0 J4 [$ d/ F9 k
cacls C:\WINNT\system32\Cmd.exe /e /d guests
8 r0 E& ?+ H! g! E

I0 n3 Y v/ x; d" {% Y i# H, t

五.其它危险组件处理:9 n" y' G4 P* V) [% x% O) c0 l, u

^ N3 \& E3 p, KAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) : m( Z# _5 Q7 Q7 o! S, n& w' u
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74): l, X: e" h: Q( B R& |: Y
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)8 Y& d* h9 ?% j4 p: m( \

# o! t; t9 K3 A9 D
, p( } I% M' C& t) P# U2 N: U8 y
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些./ u: l4 H( ?4 E: t' D" I# a1 \

PS:有时间把图加上去，或者作个教程