[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

% m7 L# `/ u; ]5 w5 M
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队" f$ h- p+ X+ ]2 L( G5 d0 j
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作. ?: @- c& G4 \. Y8 i
WScript.Shell组件---可以调用系统内核运行DOS基本命令.5 o" P5 e0 @; K$ A! e& y: K& X7 k! ]
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件/ [; A$ R+ K( b! ]( i

, d1 _7 m: h/ v+ \( U* Y  j
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.% J" g. A3 B) r% ~9 b2 ~
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
( m+ I7 b4 V0 O; i9 y" K改名为其它的名字，如：改为FileSystemObject_3800
6 `( J. U0 i" B  M) e1 N# U: t- z自己以后调用的时候使用这个就可以正常调用此组件了.' m, s) l$ i; c
2.也要将clsid值也改一下
0 k1 ~% l" S4 X( I6 T2 EHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值; C( g- w5 W( Z2 y
可以将其删除，来防止此类木马的危害.8 W" a9 _0 ^# j% D- H: X
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
( D$ ^3 w6 ^8 \7 F9 k) a$ X$ D如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件; S2 \# H) J! K' Q
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:  m; \1 S  W8 ?9 R; y  T+ F
cacls C:\WINNT\system32\scrrun.dll /e /d guests5 R6 `# V. P) I" S8 C

& L9 y$ B4 t7 e0 F6 P7 j2 v
" K% h8 |% E, H2 @. X. |
二.使用WScript.Shell组件5 a& }& v4 J. ?! Y

# [0 R- r( v/ E1 Y! `4 r
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
; Q. O2 B. O8 T9 V/ B) H7 o  d
: Z9 V- ]. Y  w1 \; L1 `HKEY_CLASSES_ROOT\WScript.Shell\
; \6 p. s( M0 |; ^% o* e及- e+ a( ^' f- [! ^2 w/ z7 c
HKEY_CLASSES_ROOT\WScript.Shell.1\
# P  q% W8 A# ~' h5 l( Y- y% J改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
$ z: C2 f- j$ g( ~( ^" a% k自己以后调用的时候使用这个就可以正常调用此组件了6 m$ v! P- S: d* h
; o+ E" x* |2 l4 m
2.也要将clsid值也改一下
4 \* {# x# U$ G" c0 I5 OHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值7 j( b* f* x: |+ i% d- f& k
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值( ^. l9 x! a3 o( m
也可以将其删除，来防止此类木马的危害。
- r. ?1 g  n) p9 q+ A) s

三.使用Shell.Application组件4 P }+ ]$ O4 r+ k

' ], I$ B9 g" o
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
' A4 {) e6 C# D  p5 gHKEY_CLASSES_ROOT\Shell.Application\
3 J  }& |0 l$ ^1 R1 ^! V0 S% I及
) S5 C$ _1 Z8 d4 P8 }/ N7 eHKEY_CLASSES_ROOT\Shell.Application.1\# d1 P5 _3 o' u3 m1 V! R
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName3 O, r! [0 a, j, g2 s5 o( G
自己以后调用的时候使用这个就可以正常调用此组件了3 }1 F* T8 ?* g2 s4 e
2.也要将clsid值也改一下1 S2 b2 S) f, G) E6 }) F0 v0 c
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值7 r8 `: Q1 w6 W5 X& K
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值5 T8 c$ h, `6 a& F0 m( \
也可以将其删除，来防止此类木马的危害。
6 w( S+ {  k2 ?# ^7 _$ Z
# f9 z; b! }# q! D6 T3.禁止Guest用户使用shell32.dll来防止调用此组件命令:: w5 y+ n2 n0 b. A/ Y/ y
cacls C:\WINNT\system32\shell32.dll /e /d guests; }; Q: g/ u8 ], _5 p$ }

( G! C+ U' N6 m R& ?# u- P
四.调用cmd.exe

J! p% H) [2 ` H
禁用Guests组用户调用cmd.exe命令:: \ s% z' _2 C1 U7 |5 {
cacls C:\WINNT\system32\Cmd.exe /e /d guests
. c$ I4 O" l9 R. F

五.其它危险组件处理:

) v! b2 u0 B* L& {/ f8 y i3 Y
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 3 I2 m$ g L2 V) T0 }
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
1 H: h( t& G4 ~: Z2 q# m* WWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
" ~5 U+ Y: h+ c( D0 m* E

$ P. \5 c6 O4 Y! M4 ?! D1 ]
% a( ]4 X, C% j! o) d
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
* ?) Z3 y/ o( r) z& R! m
PS:有时间把图加上去，或者作个教程