[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

3 b# i0 {+ w- O) z/ |1 V9 w9 @

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.8 l3 ]9 E' A7 Z a
WScript.Shell组件---可以调用系统内核运行DOS基本命令.6 W u& {8 }+ n2 W% X ]
Shell.Application组件--可以调用系统内核运行DOS基本命令.4 Z; F1 h( ]8 q* |) y

一.使用FileSystemObject组件( \) k, H# D; j% s3 _, ^- S+ c

$ E; H) v% L  \1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.4 V: D# Y# M: w5 `; X
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\0 Y, v* ?; }8 D" o8 b( L
改名为其它的名字，如：改为FileSystemObject_3800
- b0 U% Q! k2 B. R  ~7 W$ L) _7 x自己以后调用的时候使用这个就可以正常调用此组件了.$ P; h' u& O5 E2 B
2.也要将clsid值也改一下
6 f% i. E$ j3 U% M; k0 NHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值' ~4 _% Q+ d0 e6 p! G' g
可以将其删除，来防止此类木马的危害.
9 t* W' }4 N; M+ [3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
# @$ A; u' |! c3 I如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
5 C( H; {- b. x  [1 D  P4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:* D+ L/ C- A2 t/ ?& j+ i3 b6 w
cacls C:\WINNT\system32\scrrun.dll /e /d guests
; T4 C  |- A. i; R; Q  j

4 X8 ]9 Z0 O3 J$ D9 P" D" Q
二.使用WScript.Shell组件) V7 r2 h3 }* K4 v. i/ Y

! M f/ D; ~; j& n# K0 L) `1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
5 ~9 p1 l3 z; E* L
) ^7 V! t. @/ H" ]# @ t& HHKEY_CLASSES_ROOT\WScript.Shell\* [- ]* }) {9 q9 F' l
及: K* Y7 a8 G# o
HKEY_CLASSES_ROOT\WScript.Shell.1\
5 {# G* h( }" z, }, x+ R, a$ y改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
+ f; ^' f* [4 O, g* p/ N自己以后调用的时候使用这个就可以正常调用此组件了
' z, S( D. m, V5 _5 B
5 z$ y3 [2 g; I3 T- A) Y2.也要将clsid值也改一下3 d* F' n4 Y) Y8 u% o
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
& v; [3 ?' [* N5 g; p$ f1 qHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值4 U6 T9 I* c0 j! F+ q# S
也可以将其删除，来防止此类木马的危害。* b8 H4 U3 i9 v# U$ [

三.使用Shell.Application组件

3 {1 b( u9 t0 c5 {$ \3 x
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
: n3 J: u0 F# D5 R" WHKEY_CLASSES_ROOT\Shell.Application\
2 Q2 v2 f/ w; J# E) ]及
, m4 z1 Z8 }- j( e% \$ pHKEY_CLASSES_ROOT\Shell.Application.1\
0 `2 ^+ e4 Q) k4 D) P! M1 V: h" T改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
) b- b) N9 x2 s# e# H- X; ?自己以后调用的时候使用这个就可以正常调用此组件了
, I: j0 P" T* I3 d8 |* X2.也要将clsid值也改一下( g% b7 [. i4 Y% j
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
, s# X- F0 B( c* k* RHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
+ |9 B! l9 I" s8 E$ c5 y也可以将其删除，来防止此类木马的危害。% U5 ?7 o8 [. o. H7 x/ ~- B
0 ]( h k) A- ? ^
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:. U3 L4 `' c- m. h! h) n ]
cacls C:\WINNT\system32\shell32.dll /e /d guests9 [8 P. v0 R: D, r# y4 v3 y0 [. |

四.调用cmd.exe

- A8 A0 o, |9 Z禁用Guests组用户调用cmd.exe命令:
Q& P% I0 a9 K6 g# Q7 V1 S/ _cacls C:\WINNT\system32\Cmd.exe /e /d guests" X1 }" L; E; ^) [

" Y0 Y+ F, q6 o" U4 g3 p

五.其它危险组件处理:

- H$ F6 _6 Y5 M2 _  j5 b+ ~Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)# _  k/ v' T  a4 y1 S1 A; f
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
: u: \( k  h/ v9 T

% q7 o: M0 y+ u
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
+ t( }: ~! X$ Q3 p1 f4 p
PS:有时间把图加上去，或者作个教程