[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

: C; ~. N1 K' C3 S* E% M6 m
0 l) V: ^, E/ K. m& P. E0 {
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队$ X; ~, g9 X( P2 t
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.9 W0 ~! a% v s' O4 g) I6 R) V
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.
- A: W+ T0 `. d0 R0 f8 X
一.使用FileSystemObject组件7 L9 ^" q4 t7 D3 x9 _8 B0 [: [

& w/ B) C& T4 S1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
3 G2 q% C5 \( g/ V4 Y" bHKEY_CLASSES_ROOT\Scripting.FileSystemObject\8 _; \6 W# Z0 y; v' c& N3 J
改名为其它的名字，如：改为FileSystemObject_3800
0 Y4 |2 i+ e$ E' \5 Q9 O0 O自己以后调用的时候使用这个就可以正常调用此组件了.
0 S+ J' U6 J4 d) J5 f& l2.也要将clsid值也改一下
, g3 ~  T/ Y: x0 u3 OHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
! z3 J+ s0 ]4 a可以将其删除，来防止此类木马的危害.
4 I: V" C3 ?% _* @6 P# w6 @3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
, _4 D0 Y* h1 p8 E& J2 C4 A如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
8 t9 N6 f1 U. j4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
! l+ i  a6 T& D2 J: [cacls C:\WINNT\system32\scrrun.dll /e /d guests. d1 M7 _# h0 Q. B2 r

( p, L; e! s* t" t/ \# A
二.使用WScript.Shell组件1 @4 r- H6 P/ c' Q; o# N

" k5 Y' ~9 S0 g% E( _; g
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.; u9 o' V1 ^/ r  Y! z

% H) f3 B* V9 H8 l9 c) l! v8 qHKEY_CLASSES_ROOT\WScript.Shell\& {7 t: X% d. D
及
- l& T8 r3 p3 F& [HKEY_CLASSES_ROOT\WScript.Shell.1\
* C) O/ g" `3 q' h改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc! O$ c* Q: ~! q8 }/ ^/ u% n
自己以后调用的时候使用这个就可以正常调用此组件了, }* p3 v, H0 c+ L3 M$ Z
4 B; q5 Y- P( d* w2 v
2.也要将clsid值也改一下
3 p% k) p1 e! E, T1 D, cHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
$ M3 k9 }" N( h# r9 _2 ^$ ^HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
  P9 E8 q7 x( A0 l3 s' ?也可以将其删除，来防止此类木马的危害。
" Y  ], g0 F0 N. o* ~/ M( e. e9 z

0 d; h- D) M& x- F
三.使用Shell.Application组件, s" _7 H# D+ A9 a ]

+ Z' o2 g$ D$ \( d  S6 F6 p" ^  _1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。/ Y) s$ N; {, C' N. ?
HKEY_CLASSES_ROOT\Shell.Application\7 K3 r) U! N: s: y7 \+ L% `
及9 B8 ^4 [6 v0 [. U5 v% i
HKEY_CLASSES_ROOT\Shell.Application.1\
8 P/ r' J+ K1 l$ ?0 F4 I" ~# b改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName& J3 A/ G, G) Y
自己以后调用的时候使用这个就可以正常调用此组件了3 G6 `8 P! f" R* x
2.也要将clsid值也改一下1 D0 `# T4 D- [: i' b
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值0 A8 c# ~$ m) ]
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值7 ^( H, n: g  x% p3 S- a- B& C
也可以将其删除，来防止此类木马的危害。
3 }8 C4 D8 _: G5 O1 C! Y9 [. h+ H* \0 d( o
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
8 B" T  \0 g& M7 G6 n7 mcacls C:\WINNT\system32\shell32.dll /e /d guests% V4 R6 [8 s/ W2 f( a; K0 R

四.调用cmd.exe" T) y6 }8 h6 [+ L+ v+ V

7 t& S, g) L6 E
禁用Guests组用户调用cmd.exe命令:, b$ {4 N9 h( b
cacls C:\WINNT\system32\Cmd.exe /e /d guests4 z9 o# Q' @/ y' e; P; x8 i+ K

4 G5 q2 V9 M0 n& N
五.其它危险组件处理:' W6 C$ |/ p3 T2 W5 b: m

/ z4 j- q, r' O! {: o f& KAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) , @# ?: ~6 W4 R; L4 _
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)" Y7 A# I, P* V% Y+ ^: e9 e- h& X, j1 }+ ~
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)1 g: h+ W7 H5 l1 s6 @4 j

3 X+ G2 M j% O7 X v
9 v1 z5 R/ |3 }' n
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.2 h9 ?: V. S- B! v' M" A+ x8 v
0 J+ _7 V' k& ^5 j9 b' _% X
PS:有时间把图加上去，或者作个教程