[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

: ]" @! `# @/ w9 p
6 ~) R7 G# P$ F7 \
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn). y& J" t& L, r; [
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作. ^0 i% }( Z% H! H8 _* Q* |
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.* y/ ~# f) }# U$ S

一.使用FileSystemObject组件! f S8 P ~# e5 A& U9 O

1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.9 l' [) S2 j; R% z
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
; k- K* E9 R% S改名为其它的名字，如：改为FileSystemObject_3800
- T# Y `) `/ R自己以后调用的时候使用这个就可以正常调用此组件了.
* ^- U4 ]; H% g) ]7 A* ]2.也要将clsid值也改一下
2 t9 Y6 }8 ]9 Z4 mHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
+ U! I; ~" _8 W3 c+ t% L9 x可以将其删除，来防止此类木马的危害.
! b5 ~2 h2 ?- d* Z+ E0 O3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll & ~/ ^$ ]6 |1 f! m
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件' {" L+ L( J$ r) S# d' t
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:0 M7 R& e9 T' [3 e7 T* ]1 |0 @' J
cacls C:\WINNT\system32\scrrun.dll /e /d guests. n; @5 o3 U5 e8 Z, b

8 S- S- S) w! t& U3 I7 a: @* Y2 F
# U: D& h# V. b8 d' V3 T+ U
二.使用WScript.Shell组件

4 E( ?8 r4 {! z" l$ o, x' _, z
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.% F6 }9 \, [6 \' K& s
: _4 \. [! T$ q/ f& `1 r3 G# V9 D) a
HKEY_CLASSES_ROOT\WScript.Shell\
- |# x: ^1 z" A2 J; c: S- w/ a及8 ]8 v6 c/ j3 d% R5 O3 F
HKEY_CLASSES_ROOT\WScript.Shell.1\0 D- e/ I% H' c6 u: b
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
" Q- B* [2 W) J+ b: I# B自己以后调用的时候使用这个就可以正常调用此组件了; p: y8 ~" `% c* W

" U4 q' ?) R$ @# A& h+ R, R7 i2.也要将clsid值也改一下
: Y2 j, I* H8 I$ w! ^2 THKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值- u0 q8 A1 N9 g9 l5 z- U
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值4 x1 }& M" b, {0 D3 R
也可以将其删除，来防止此类木马的危害。5 n. R$ ?* u( f5 B

三.使用Shell.Application组件

, f% ^! Y* ]0 D& r: ]3 ~1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
8 N: g. P( {' L" f! l( r; r7 q( cHKEY_CLASSES_ROOT\Shell.Application\
. r: L# S% x; q及
' a! N7 j5 |$ l3 E( _( ^- IHKEY_CLASSES_ROOT\Shell.Application.1\
- ^/ Z/ Y7 n' {$ b# b' n+ E改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
/ I1 D9 @5 P6 P- R自己以后调用的时候使用这个就可以正常调用此组件了% ]6 I, C' e# k. f- V
2.也要将clsid值也改一下
, ~9 V. i7 k5 R# O5 w$ e  _, _' zHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
/ K1 D" F/ b, QHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
% G8 {3 g' @* _( N. @" L也可以将其删除，来防止此类木马的危害。$ o  D) j( _' G; z3 e" ]- J$ `
  Q" M  @6 g) z& L& l) j8 N8 h( ]3 Y
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:6 z6 @5 f. z; ]) B6 W: `* ]  H
cacls C:\WINNT\system32\shell32.dll /e /d guests. V& v2 d. W! T9 l8 s$ q+ Q" B

. t h( r) M3 M
四.调用cmd.exe

0 n8 B k7 f* \: k: h+ {# w禁用Guests组用户调用cmd.exe命令:8 w9 V6 L+ E3 _% q
cacls C:\WINNT\system32\Cmd.exe /e /d guests
0 r4 j! y( l; o m

五.其它危险组件处理:$ H2 r; H4 V/ e& x

. [, l' h( a* Q. j1 a
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
+ U5 l. k; A6 e% g5 eWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
a" W' g/ z5 u6 d6 hWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
+ V5 j0 z- o. K3 \, t

) D5 c9 t; [* W- d1 p
7 M% I+ t( m0 }" m
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些. n2 i, ?( H' ~3 S: i& e, z
: c# H1 X6 d; i6 ^
PS:有时间把图加上去，或者作个教程