[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)# F1 F: e( k. N4 E
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.8 o' s$ i+ W \% n8 c

一.使用FileSystemObject组件

' z9 Y9 s7 d: m
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.7 N  Y: ^; }1 v; @4 V) h/ E) N" F
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
3 J' c- Y* ?1 `6 }4 l% X" y: h改名为其它的名字，如：改为FileSystemObject_3800$ ]7 C; r; K; L
自己以后调用的时候使用这个就可以正常调用此组件了.
& B9 e  r  W" ^7 b2.也要将clsid值也改一下( Y( S+ C( e) [) i  r
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值, }5 v3 [2 d& ~& h- z
可以将其删除，来防止此类木马的危害.
+ F5 u. S5 c- v5 c3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
; }- Q3 z/ X2 s. I如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
1 u2 r& i/ @8 j5 H: a4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
- v% p* l7 k4 a3 ^$ [- bcacls C:\WINNT\system32\scrrun.dll /e /d guests9 h! ~* l: I, A" x5 X8 v; B) r

二.使用WScript.Shell组件

+ I# B% T9 ~# z3 ^9 ]
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.: U2 s% W8 y" {6 A+ P8 Q4 E

/ P0 R6 L8 R& d/ O% M9 Z! @8 pHKEY_CLASSES_ROOT\WScript.Shell\
2 v+ B" T" p$ |* x# e. o及% I+ [$ f1 I4 h. w8 S& o8 s* S
HKEY_CLASSES_ROOT\WScript.Shell.1\
- {/ d6 M1 Q7 K: r3 t4 V$ ~改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc0 _9 n' J) r! _2 n3 h
自己以后调用的时候使用这个就可以正常调用此组件了1 A# `' @; _6 M3 n+ S  P% p% w" G
: d; {2 f- O$ n. a1 x) G. T
2.也要将clsid值也改一下1 b! b  P" b: j1 h
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
! F$ \5 W  B, n" K* e6 X/ M4 THKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
5 c+ {' h4 h" O$ X0 z1 s也可以将其删除，来防止此类木马的危害。
) }+ I" e; _) @( M9 Z+ V& J4 E

三.使用Shell.Application组件

# e, ^/ k5 w2 U
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。! }! L. [4 g2 t# S3 x
HKEY_CLASSES_ROOT\Shell.Application\) _9 D, L& i3 a$ p% L  k
及
; ]$ d4 L8 s0 KHKEY_CLASSES_ROOT\Shell.Application.1\, Z" W$ Y/ t# R: i8 e( ^) M8 R$ U$ g+ ^
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName! a: Y* i$ `/ s7 L3 y3 D! T
自己以后调用的时候使用这个就可以正常调用此组件了
" E& u6 y! N, Q! _4 r  `* [2.也要将clsid值也改一下
+ W/ H  {; Z0 bHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值! @& {5 k+ Y. z6 D' r
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
2 M8 y3 p  j9 E4 I' A也可以将其删除，来防止此类木马的危害。- k2 A9 T$ O! I$ u

0 y3 Y' n* U/ m- p1 |7 r3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
6 R% W5 Q, J1 O2 r' vcacls C:\WINNT\system32\shell32.dll /e /d guests
! U, R- @# ~3 B' b8 ?; y' o, ^

0 |' Y7 t/ B. N, k G
四.调用cmd.exe

, Q& M6 d. }! H. E
禁用Guests组用户调用cmd.exe命令:
* s' ]2 w" C& v& W+ \) S/ q) ocacls C:\WINNT\system32\Cmd.exe /e /d guests; ^, Z' D' ^( Z: C9 S5 _+ _

# d: S! o- W9 G8 V Z3 G
五.其它危险组件处理:

0 L7 r5 c& G' e; Y5 V& @5 LAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
: K8 C. D0 w! A2 S- PWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)* x4 w, w9 k0 n6 |/ T
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)# u9 u& q* n3 V

/ c, G5 C9 g+ [6 F$ N7 F2 b$ u
5 N2 O1 Q4 G+ R' l& v) |& ^1 Z
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
/ V# [+ K0 w# Z# c" p
PS:有时间把图加上去，或者作个教程