[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn); a4 X4 B0 ^, J: ?( l1 P1 O
信息来源：3.A.S.T网络安全技术团队5 ?9 n& B1 Y; h
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击./ @" S3 M& j i2 V
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令., E8 {0 {0 v* T4 X$ A# F
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件

# b$ L5 e( T4 r7 H7 o1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
; T7 e; o0 l* u, s, @7 _$ yHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
6 H" w/ o* F0 d4 E! j; L( d改名为其它的名字，如：改为FileSystemObject_3800
0 x" J) y: i0 w" {" C2 O自己以后调用的时候使用这个就可以正常调用此组件了.+ N& z9 N. o3 u  T; B( z5 b
2.也要将clsid值也改一下
+ _$ o; \  t! P( iHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值4 L8 B2 A9 Q1 \  c
可以将其删除，来防止此类木马的危害.
% \: \/ b4 ^3 d5 w! j% M! w3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
+ U* }. u4 f$ i如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
) H: N% v4 f6 U5 j( d" |4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:  {# Z) J2 x/ [
cacls C:\WINNT\system32\scrrun.dll /e /d guests1 H  \) s# v% w

; q0 b8 k e: H! l, l0 j; ~
二.使用WScript.Shell组件

: \: Y( ^% h0 l0 }" l& a# f: B1 d
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
# @6 @' s( `; D6 ?( Q$ ^% |6 g
# ]4 E' {4 \ |6 rHKEY_CLASSES_ROOT\WScript.Shell\2 r; n; y2 V/ B9 A& _
及
. w9 n" ?- X8 lHKEY_CLASSES_ROOT\WScript.Shell.1\$ O2 t/ |% y# i5 Z9 }6 I8 j
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc$ P2 E W! l+ Z: W+ u8 @
自己以后调用的时候使用这个就可以正常调用此组件了2 u: k2 }; n2 C; X
+ h/ H& a' I! x8 p
2.也要将clsid值也改一下
' V7 p2 A; M& p! [8 o; iHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
8 X4 ]: V3 ?! ^+ S7 [" s2 `( jHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值; f9 v) P' E- X5 @% {& q& }8 C3 }
也可以将其删除，来防止此类木马的危害。5 T# |0 w- {7 e/ A) p& m0 ^

三.使用Shell.Application组件1 n9 }/ M9 d, c$ w- G: l4 q

$ g( A! q9 Y* z' f, ^* U; }0 A
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
& s5 G; @) U& r0 |3 S5 W! IHKEY_CLASSES_ROOT\Shell.Application\
9 L' N) w% [5 g及
! q* X4 t' ^8 J- gHKEY_CLASSES_ROOT\Shell.Application.1\
G* F1 P& C: f4 J r( V. T& D改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName6 `3 k, r, ^4 v6 }; I9 \, {" Q/ j
自己以后调用的时候使用这个就可以正常调用此组件了
; p% {/ w& Q# P* ]+ G+ Q1 l0 L2.也要将clsid值也改一下0 e. X0 t1 ]* l8 K/ s7 l# C
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值7 a! e/ U D- s
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值& D& u/ [- ^$ I0 z4 c& ~2 r. ?
也可以将其删除，来防止此类木马的危害。
5 O! V# x2 u$ k: J" k! \) z, Q8 L& |1 @3 ]$ x- a
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
( @6 c. z' m+ y6 ]+ ~* j8 e1 ccacls C:\WINNT\system32\shell32.dll /e /d guests3 y9 Q7 J- R5 ~8 t7 O

四.调用cmd.exe2 t1 f Y f$ C1 [" r2 a% I3 _

8 b; w( }& G2 A+ R2 D) h. C禁用Guests组用户调用cmd.exe命令:% E3 W' s+ \5 C$ w$ g
cacls C:\WINNT\system32\Cmd.exe /e /d guests* {3 F4 l$ c& _" }$ J' D; g

五.其它危险组件处理:3 {& [' h$ a( a

; x2 j& c1 q/ j6 K r, v# E1 C, H5 ^Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
& K: ^8 A7 e2 X% G! y9 F7 P+ RWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)- B% ?( b5 |; k% n+ T
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
7 V" x( ^, n% Y( j" h

# L; ~) m# [7 b8 l3 N
5 a( z% a n! w7 f
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.- F! A) F- t, E4 E4 h
9 S$ e/ ~8 [2 C9 z5 o, j% K
PS:有时间把图加上去，或者作个教程