[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

2 \+ X' H% k& R4 L$ m. `* U, B
0 h1 `, ^4 s8 ?$ S. E7 g
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)7 n% z& U& O0 @3 k8 D
信息来源：3.A.S.T网络安全技术团队$ w5 v; t8 i* w z# F
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.' }- O: i& h& i; X4 M% H z
WScript.Shell组件---可以调用系统内核运行DOS基本命令.# q* i; ?$ ]+ E9 x' I
Shell.Application组件--可以调用系统内核运行DOS基本命令.
7 E. C, J! w7 o4 M2 G# ^
一.使用FileSystemObject组件/ x8 R. A3 @: T0 R) _

! C+ R# k( _% F3 w
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.9 b3 i! E0 k7 f' C8 h/ ^
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
. v7 i' p% s3 G' v: l, e& v改名为其它的名字，如：改为FileSystemObject_3800. _$ h; r5 m" I" V3 x( I* j' W
自己以后调用的时候使用这个就可以正常调用此组件了.7 u* d5 ^' u- \/ ^8 K
2.也要将clsid值也改一下
. z* {+ P  i' \' iHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
' @% a* P5 f4 N" J" p/ ]- ?可以将其删除，来防止此类木马的危害.: [2 o: k" B% ^  X0 n0 J8 u7 P
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  ! R# S' t  T6 r; x) U7 R( [6 k
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件* e3 Y/ R2 S! _7 n; o, |
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
, U* V3 I6 t9 Jcacls C:\WINNT\system32\scrrun.dll /e /d guests
* j% d) {+ h% y

: E' \2 R( }2 k" z' x* z( ^5 ~

二.使用WScript.Shell组件$ t4 l' R9 g/ u2 V' q3 L( s/ k

. _& b4 X$ W4 Z0 J# f
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害." A9 [2 f0 g2 s# M* F
2 J# m  m. h0 R1 @; L; u
HKEY_CLASSES_ROOT\WScript.Shell\9 [6 F$ j2 t0 G
及
6 l  w, Z: W7 z; UHKEY_CLASSES_ROOT\WScript.Shell.1\) x4 j. D8 ~+ m
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc) O+ p; _  o+ z; P. d! V) G2 i8 i; i
自己以后调用的时候使用这个就可以正常调用此组件了' A8 t6 `1 R0 c% u

9 Q$ N3 Y3 ^' c& G3 }, N2.也要将clsid值也改一下
% w% d6 T8 F& K9 t  D9 eHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值% E" D4 D, |9 a- l/ T- W
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值$ H# `/ o. l# L7 v7 n* Y! V
也可以将其删除，来防止此类木马的危害。
5 o- P* N6 j5 ~. t! \9 o' a; _6 T

三.使用Shell.Application组件5 }$ A4 }' L# D# Q

' t; F# W  e. O% ~5 d& L1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
2 ~5 d- I7 p, i" UHKEY_CLASSES_ROOT\Shell.Application\
8 U: f' c' j8 J* f' h5 a及4 j% _; |  i0 ~
HKEY_CLASSES_ROOT\Shell.Application.1\9 n- \. H) M- a0 `% R1 k% j* [1 W
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
/ g/ [  k, w, A: r自己以后调用的时候使用这个就可以正常调用此组件了0 ~# O* k* z; ?) e6 ]' V, q& }
2.也要将clsid值也改一下
/ o) \, L% }+ Q, eHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值+ n: f, g# F6 ?% j# M5 k+ ^
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值6 g& K9 Q! ~$ w0 x; Q
也可以将其删除，来防止此类木马的危害。
0 O2 g: ^  S0 p
/ C& @0 i% \7 N, B3 r6 V$ z3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
  A% |! r4 w8 U9 g! Z" pcacls C:\WINNT\system32\shell32.dll /e /d guests+ X  Y: P4 l( G; K1 Z$ A% v5 O  U

2 O$ P, H" B; a: r, I1 m9 R
四.调用cmd.exe

9 w# V# x! w5 Q1 D& o; U. s
禁用Guests组用户调用cmd.exe命令:
6 O i0 X7 D& I% @4 m- N0 A% E5 o5 }cacls C:\WINNT\system32\Cmd.exe /e /d guests
. l$ V( R1 t4 N" h6 q

& @+ T, D- c$ [$ Z- i2 ?
) D. f4 I! a: O! H/ }3 V$ d
五.其它危险组件处理:) h0 }4 d& T6 n6 ^( f8 W7 y/ c

: f* Q' |9 |) \# E4 J
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) ) N2 r+ i7 @" x1 u! F8 L
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)# q0 f. C/ J0 X3 j5 c
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
: b+ i6 f9 Q" {

8 G2 n9 O5 m' l
" ^8 l+ n1 e$ |) P4 x d# `# x
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些. w: N4 s+ h$ q4 U( ^' `% T

PS:有时间把图加上去，或者作个教程