[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

6 N7 j  Y( Q5 P/ }: w) C! M! }
2 T5 _1 H' o% [% m6 N
原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
# ?, W$ Z$ k4 F* Q6 V+ d信息来源：3.A.S.T网络安全技术团队
# R' _0 |$ R2 g% H( \防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.: Y: ?: B7 h, N- A. b( H' B: q8 q
FileSystemObject组件---对文件进行常规操作.9 b; s: n5 @# r8 l) f  g  U
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
7 U, T1 y( i) L" |% w& lShell.Application组件--可以调用系统内核运行DOS基本命令.) h/ o* F, T) a" X

! \- K" I! o; }8 W6 H一.使用FileSystemObject组件# Y; i' K4 D& G  N+ C

7 [4 C8 D6 {7 T9 |
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
6 y0 w+ a6 y  H% N% xHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
1 K6 G7 R% c: W# Y& n$ |  T7 F+ ^改名为其它的名字，如：改为FileSystemObject_3800
/ y8 b. e2 j6 C# q: j: X自己以后调用的时候使用这个就可以正常调用此组件了./ d; K+ r% [6 y: o
2.也要将clsid值也改一下  e5 @& ]; O0 x4 O; T7 P' Q5 ~! G
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值  t! x7 \# F+ G; k8 ^  Y' s
可以将其删除，来防止此类木马的危害.5 \* K! f* D8 I( R/ [" t
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
9 y+ X; B8 Z% m如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件) Z+ p, s. A# E, P. N, w; C
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
3 X3 q) k3 b2 I0 Q; |/ ]cacls C:\WINNT\system32\scrrun.dll /e /d guests" f3 B6 P$ w' w! }+ g4 t! K

+ [5 H3 g- e6 S, w* }1 @# |
8 ~+ [8 Y) w/ [# J
二.使用WScript.Shell组件4 x0 @( c$ ?- H1 u/ T  C

. S6 \! X8 L9 l) \0 l
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.) O( f- ~3 k5 a: F% R* F0 G
  {6 F8 L4 R) v2 {8 R
HKEY_CLASSES_ROOT\WScript.Shell\: [  `) s8 I; I
及
0 g6 J' D% L4 W" j  {HKEY_CLASSES_ROOT\WScript.Shell.1\9 Y/ E9 P- B. T5 {
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc- x/ o' t. @# s' G/ h
自己以后调用的时候使用这个就可以正常调用此组件了! \+ \9 \4 `; k

1 @* e+ e2 P" M( O2.也要将clsid值也改一下
  n# ^# j* V6 i6 n; h3 _9 MHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值4 O, b2 K, R- _4 z9 r5 d; A" n  y
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值' z( A( ~1 y0 J# g- O" c/ ~5 M
也可以将其删除，来防止此类木马的危害。
6 T7 l: R1 L, G5 r" m8 C

1 m7 d& S2 o+ w+ G1 X/ N7 h/ T三.使用Shell.Application组件
6 g2 q1 J5 [& K, N4 K

0 l7 f- }5 G% d  O# x! p
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
8 h) M9 y( f: C$ F* C! K8 k/ tHKEY_CLASSES_ROOT\Shell.Application\
) p; {! E) @# E' N+ N6 @) x及! g# D. s$ G5 {1 k( q1 k/ K
HKEY_CLASSES_ROOT\Shell.Application.1\& C( ~6 F1 y7 b2 E- `
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
, Q: W% `' D( V: X1 f! p自己以后调用的时候使用这个就可以正常调用此组件了
9 i9 I3 ^4 I. l/ A2.也要将clsid值也改一下5 |, ?/ O7 G% U/ V
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
0 y0 s1 V, h) }# b! _: i' PHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值- a& U2 [+ a; I7 J: k1 v+ g9 R6 A' t
也可以将其删除，来防止此类木马的危害。
: D% E: i! L0 _+ }  S, V. i1 L* X5 X0 g$ ?1 |
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
' u/ K2 W: {7 V! U4 T( G% zcacls C:\WINNT\system32\shell32.dll /e /d guests- y% N$ h! ^. f4 }$ l  Q. d2 s

6 H# e$ }3 S* K+ g$ ~) F- s+ I
四.调用cmd.exe/ |; u: r8 h. S0 ]

  U" ?" \- W. i禁用Guests组用户调用cmd.exe命令:9 g" y( d1 P! A
cacls C:\WINNT\system32\Cmd.exe /e /d guests
( |' L2 ~, n3 C0 o

$ x9 ?, I4 a) q" d1 o' Y9 W7 v8 \; W* w* e0 B; |: R
五.其它危险组件处理:
6 l! ~' @+ t5 v" @$ j! K

* K! U% I- q5 Q! _* X& |# v+ }
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
/ q4 f8 x* H. f( t( a" u2 P1 _; V  g% u" M  }WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)& r: w. K, ^$ a
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74). U  Z" U3 D. b6 @3 l2 |

$ F) L0 v- d6 ~; w! [0 X$ K5 h

* x: S9 T* A0 g- S; P按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.$ h3 `/ ~8 @7 e2 |1 T( I# D
. V+ Y5 R7 {& o
PS:有时间把图加上去，或者作个教程

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断

我本机测试了下
; R) [7 _5 ^; W/ z/ Y/ j
. q& S, m3 H- ~4 h4 ?; M* u如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

有控发点图上来对比下

猪猪

哦 学习了  知己知彼方能。。。。:)

paomo86

学习了……:D

小雄

发点图比较容易吸收。。:lol    不过这样也行。

在意z

谢谢楼主分享技术。。