[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)0 u/ ~/ H! G  c& x% I
信息来源：3.A.S.T网络安全技术团队$ b! l: R" g/ _0 K
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.* b0 m2 E7 n. L  a
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.& R! x5 o  F6 M8 T# M. N
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件/ `6 t2 Y( _6 s- f9 Z) w1 q

/ h6 v1 g' h  R3 [1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.- p' A0 L: A; I9 {
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
- Y. n: J4 Q7 w; \, t9 E改名为其它的名字，如：改为FileSystemObject_3800
* \# z5 B1 o  F( a自己以后调用的时候使用这个就可以正常调用此组件了./ H! Y; Z3 z% {7 X! h
2.也要将clsid值也改一下. X" M) H8 {& T4 G, a8 e! K- G9 M
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
1 Y# I5 l- ~0 Q. v( u' \可以将其删除，来防止此类木马的危害.; O6 m% e/ g6 T5 r# Z( s
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
' u7 B) X$ @+ R  y' [如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件* \/ a# o3 Y+ c
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:6 j+ [( W4 a1 c
cacls C:\WINNT\system32\scrrun.dll /e /d guests
& h1 E; _9 z) H* Z( ^6 L1 ~

; C4 s' I: `0 }+ Y" E
二.使用WScript.Shell组件

! c$ I; L# u9 u C& {0 Z2 ~" v1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
. n# a: g2 ]3 p( }3 @" {
7 ]" Y7 @8 K0 Y# L6 D$ X' Z0 _0 ?HKEY_CLASSES_ROOT\WScript.Shell\; G0 A4 @4 ^7 J! y! t. h8 `# ]
及2 U. s, \# y8 d! C8 P- U/ d2 N
HKEY_CLASSES_ROOT\WScript.Shell.1\
8 `1 C- E1 Z( w1 {: G改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc- T- Z( z) _. c2 |
自己以后调用的时候使用这个就可以正常调用此组件了
" s1 q3 @( s9 X7 V0 x' T! m9 z: \5 Q$ w; z( c w
2.也要将clsid值也改一下! |4 f3 j2 S( t& ?0 H5 P4 r
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
. P9 U5 s: A. hHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值% R1 A7 v% b& R2 }; F7 J( J% O
也可以将其删除，来防止此类木马的危害。
# j! N7 ^% U3 }

! Y' r( F6 m* H2 x2 [/ L% G# f
三.使用Shell.Application组件

$ `% R: {, h# W5 `1 _: R( X1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。+ h* l- y' J7 M9 `0 m
HKEY_CLASSES_ROOT\Shell.Application\
7 Y" N( }0 J) z) O及
; Y/ i! j6 [3 @; m  u% I% O2 {HKEY_CLASSES_ROOT\Shell.Application.1\
0 Z9 r" I" S+ i7 C5 n& p4 |5 \改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName3 W3 L5 ?& X6 B* h5 f
自己以后调用的时候使用这个就可以正常调用此组件了3 h  j$ X! l  j8 X  G1 n
2.也要将clsid值也改一下8 q! O& y, b# f2 T! |& ]
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值  H. e: o& f- X5 u$ h
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
+ ?0 f/ [) |4 r& A也可以将其删除，来防止此类木马的危害。
( |- j4 X2 j3 ?' s! r- R$ m
7 i' |6 `9 O$ x3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
8 ~3 `6 ]6 C5 R; }& m  U8 jcacls C:\WINNT\system32\shell32.dll /e /d guests
2 `" {7 d/ p. o) X

1 j6 v: p5 ~8 m+ m; n( \
四.调用cmd.exe

. J) k- b( n. `5 Z
禁用Guests组用户调用cmd.exe命令:- P/ ]- X( `" G
cacls C:\WINNT\system32\Cmd.exe /e /d guests) l- q0 N* G% K9 o

4 s: b: M, _4 e9 z) [/ f7 d
五.其它危险组件处理:

! {; z' `: M" LAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
& g7 ~# E; D4 {3 tWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)* v( y# v, F4 N7 {
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74). X4 p+ B0 n3 x5 I( a$ @8 b

3 H" J3 ^' K1 w
. n; }' X9 R1 E% Y: s
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.: n9 i& {: M4 I
& z$ g5 c( t8 [ R8 S
PS:有时间把图加上去，或者作个教程