[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

0 I- ?) s: H& r: n, x9 N- r

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn) M. C- r1 p" f! O% Q/ O% a7 I9 a5 D
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.) t& R3 X" J( e4 h
WScript.Shell组件---可以调用系统内核运行DOS基本命令.. N+ ?; W% F7 r) O/ o; i1 E
Shell.Application组件--可以调用系统内核运行DOS基本命令.% n0 o/ a. }, ~1 H9 ^$ D& k7 {
0 [# Q0 s0 F9 K% f
一.使用FileSystemObject组件

- {1 j9 [% N7 }. p0 e# d1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.# C' h, e  ]- Y$ N
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
: r* ?. ~7 L6 V. n; ]改名为其它的名字，如：改为FileSystemObject_3800- j1 `- A. }/ `0 K7 h6 ?- |
自己以后调用的时候使用这个就可以正常调用此组件了.  n( k8 h( T3 N; A( X2 p- Z
2.也要将clsid值也改一下1 e" R, u1 |5 c! L& I
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值& D) Z& O) s; I
可以将其删除，来防止此类木马的危害.+ i( J8 W6 A. \7 E+ J2 ]
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
8 x. d" Q% r9 X# F2 C& f( }- D7 q# ]如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件9 C; R5 P3 r; b1 }
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
6 {4 ^! K1 J& x' X3 E- p( Rcacls C:\WINNT\system32\scrrun.dll /e /d guests
/ F9 ~  d9 e. ~

" p z O+ [# ~% V$ R; _, O3 y' ]
2 w, \# I" a) J4 M* y3 [
二.使用WScript.Shell组件

  n- D2 R" k  J" V7 D7 R) a
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
/ R" j+ ]( M9 Y
- o# K# B# n# L; [, T5 LHKEY_CLASSES_ROOT\WScript.Shell\
4 b. p6 H0 J  ?7 E+ X& t; B. j及
  }. y& z3 p6 L; M& O% V; l6 _% |HKEY_CLASSES_ROOT\WScript.Shell.1\
: w1 |2 d) k0 e! E+ V改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
- A% [6 V: o2 |; g自己以后调用的时候使用这个就可以正常调用此组件了
6 S. d! z  o' f" k3 i  N+ O9 p3 x/ p; w; P1 a- t
2.也要将clsid值也改一下
# D* b* Z4 o2 h* V9 c& X' vHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值; Y, N  D- D9 s. z$ U8 f, v
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值2 v9 T  r/ H  S$ W
也可以将其删除，来防止此类木马的危害。
7 v! x" r5 k6 ~1 K: P# x' @6 v

三.使用Shell.Application组件7 _9 \) I$ m$ R, [ o0 I

0 j9 ^) p: H" D. O3 f7 a9 }% p+ y
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
$ |' u* l) F T- t. u' i( Q% u% cHKEY_CLASSES_ROOT\Shell.Application\6 ] G& S# z8 f( T$ v4 y o' S
及8 w. P. L) U0 B& h' O- \7 X" e- o
HKEY_CLASSES_ROOT\Shell.Application.1\2 x3 D: \3 Z6 |
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
: x/ \$ z1 ~9 j8 v自己以后调用的时候使用这个就可以正常调用此组件了6 z( X) X$ J; P& c+ \' t- d* W$ L* b
2.也要将clsid值也改一下, ]5 X6 A0 @! a4 {7 M
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值( r3 f* |$ S% U
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
+ J/ N$ X* }+ @也可以将其删除，来防止此类木马的危害。
; g* I# P9 r, j$ m7 d) y8 G5 ]7 A
3 `* \+ ? a# T- N. f, ?3.禁止Guest用户使用shell32.dll来防止调用此组件命令:0 u5 L) a; A* `+ r1 Q
cacls C:\WINNT\system32\shell32.dll /e /d guests* t1 ]% d, c2 e3 x; @) f8 q4 Y

四.调用cmd.exe. t! X5 x1 ?/ R1 }! o

) w+ ?' k) ?3 B' F$ v% O禁用Guests组用户调用cmd.exe命令:
( g }: ?7 n( |/ scacls C:\WINNT\system32\Cmd.exe /e /d guests
1 `; t. z5 b7 Z- @% V0 ]* @

! ?; o& D+ h" W2 V
五.其它危险组件处理:

7 z# L2 I' D$ I! L5 {) _/ V
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
* v' Z+ u8 P% N; [, wWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)5 j+ S& _# m' w
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74) A$ t( F+ a4 P, A# F2 b7 S$ a6 f

6 W# e8 @; s7 ?$ v; x" Q

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程