[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

& l4 H0 }& C. O9 O- u1 x& T
8 |5 R G# c2 D) ^9 h
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)# `: O" h1 X! W0 z
信息来源：3.A.S.T网络安全技术团队9 q) |- N2 C. _; \1 c
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.5 o; H, [& u3 @5 |# `
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.* ?- K; b+ S& F* \+ ]7 N
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件1 S9 @& h1 S1 }) v1 u

: \- j; B. b3 j
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.) r' [1 G: s9 A
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
/ q6 G9 }% b5 Y! x7 t5 r  C4 j. j3 G改名为其它的名字，如：改为FileSystemObject_3800
/ E) V: |- @% C自己以后调用的时候使用这个就可以正常调用此组件了., j6 k, M1 b3 f3 z" c& a
2.也要将clsid值也改一下
. \; H8 A  C, {) }  _( ^HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
$ w8 M( L' C) Y3 l! I7 v1 P. f4 O7 S可以将其删除，来防止此类木马的危害.
( ]6 @+ \% [; D/ W3 O3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
+ p7 V; u1 ^& N5 a6 z& ~9 c如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
% u: Q; c  Z# A, @  }4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
9 W- |9 @9 E+ j1 \- l- Icacls C:\WINNT\system32\scrrun.dll /e /d guests
9 p; ?, w+ `; u$ g' y: {( o

! M% _1 p1 o6 d" l6 T
5 O- e* X; N' z
二.使用WScript.Shell组件/ t7 }4 q. B* s$ ]' ^

( i* N0 z$ C( t* l; c* \# ~' \1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.. G* Y1 H: f8 E) O; r% R

4 _7 u0 i! t' R3 fHKEY_CLASSES_ROOT\WScript.Shell\
/ c+ S0 l* i5 Z! {$ o及/ p2 I; T9 j# q! G
HKEY_CLASSES_ROOT\WScript.Shell.1\
( `% \! x& T9 N1 s4 X; q2 D+ k5 [+ N改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
9 P- S0 C: x- C- ^. R) e" A1 D自己以后调用的时候使用这个就可以正常调用此组件了; }+ s- h1 _7 `1 d/ T, _
- P) h& i/ o. w. X$ z
2.也要将clsid值也改一下
4 Q8 l. n8 d7 x) f5 PHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
( h6 l& J) w: R8 y5 n1 X FHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值. N# f+ e m8 }8 b4 i
也可以将其删除，来防止此类木马的危害。
- F) M/ c5 e7 W4 ^

三.使用Shell.Application组件

) O- w" H! [4 @; b7 `" U7 ]
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。' d) y) c% Q4 Z8 S& [/ i1 h; O
HKEY_CLASSES_ROOT\Shell.Application\' q) ~8 D/ r6 Y) k) D! A
及
: |; c8 h/ `$ |! uHKEY_CLASSES_ROOT\Shell.Application.1\
+ c9 f( ~: ?: e3 |+ [改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName+ h! {4 G1 f6 V1 F! S
自己以后调用的时候使用这个就可以正常调用此组件了3 U7 S  Y) U6 |+ P" T/ T
2.也要将clsid值也改一下
8 ^# O' c( U' i) x  RHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
( h' Q2 A. v& N# jHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
5 h! V: X/ ~% S1 V# G! K也可以将其删除，来防止此类木马的危害。- P+ z6 C! G% v' T, b; F9 C* P

6 s) G# H. R* M) y' c# \! A8 Z7 x3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
. |7 y7 l) B  q- F! z& lcacls C:\WINNT\system32\shell32.dll /e /d guests
' t: l; l4 d( O9 K7 w+ o& I

* u& E' L$ V8 |! r$ F7 \' Z! R6 `
四.调用cmd.exe. N( H' S) E: G; o! L4 O9 k) y+ n

* Z9 a: Y; g; h
禁用Guests组用户调用cmd.exe命令:7 U+ y1 P' b: r A* ?: j
cacls C:\WINNT\system32\Cmd.exe /e /d guests
& x" v4 ?9 o+ Q

) C, Z% r2 J" f( |
' f: b8 M% V& _4 a1 g
五.其它危险组件处理:

5 D) p9 ~: d% M( y; T
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 3 j# z0 E% _% S- b/ E0 i
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
+ p* ^9 g8 @* e4 X LWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
& K. s, @2 B$ m7 Y

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.% q9 Q% ~% O6 m1 o
( G" _/ b+ i% x3 I: P
PS:有时间把图加上去，或者作个教程