[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

9 ^5 ^+ f4 p0 @

8 W4 _2 P# |4 `( K' z原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn): @( p9 D" _9 ~" M: U
信息来源：3.A.S.T网络安全技术团队! ~% ]) [8 h0 r8 S8 Y; S. A
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
+ y6 u2 \" I3 y5 `FileSystemObject组件---对文件进行常规操作.
! Q/ U/ f6 C8 c* g4 O# u5 B/ U, NWScript.Shell组件---可以调用系统内核运行DOS基本命令.
+ L. W# A+ f! e: W6 j! h5 ZShell.Application组件--可以调用系统内核运行DOS基本命令.
" D% g9 l! w  ^3 [8 b
4 T( b: C7 ]  i. b一.使用FileSystemObject组件( I$ g3 N; ^# X

* a' ^& ^3 a/ L3 j, A1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.# K3 M; m/ S1 `7 O& j$ M
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
7 b4 H5 h) z( H改名为其它的名字，如：改为FileSystemObject_3800
$ q2 `2 N- k& `9 w自己以后调用的时候使用这个就可以正常调用此组件了.4 v, U  F, b" i3 u0 F
2.也要将clsid值也改一下
; T7 n( d& C# k" B& c9 u9 cHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值1 D$ m2 h- F4 p# Z$ [2 A# R
可以将其删除，来防止此类木马的危害.) d# @6 n9 |# B7 H
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
  r' ?( R3 T0 E! ?/ b( l如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
5 ~4 [& s0 u0 j9 u! H4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
( W6 M+ F$ K0 |cacls C:\WINNT\system32\scrrun.dll /e /d guests
) n3 G" ~0 F5 E5 N

  D! i  n. v- w: U: B* O" Y: Z, A# C% l$ s0 N/ J# D* r* H
二.使用WScript.Shell组件
# N8 Q7 m" s  s

- o9 q* X: S- `  }
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
' N4 w2 {- E! T  `3 V+ m1 ?* R) t( h5 x+ d/ s+ h+ N
HKEY_CLASSES_ROOT\WScript.Shell\
9 U8 \5 G8 O' i: P6 d* R# U及
5 X  m; O8 @1 K$ q& ^HKEY_CLASSES_ROOT\WScript.Shell.1\
8 g) k" [- C0 {4 I5 a- ~' a3 I4 V改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc0 q. E, t$ C* j5 r9 R  }+ }" U
自己以后调用的时候使用这个就可以正常调用此组件了8 S6 Z) E6 g3 l  r, P. g. V$ h

, c% i* }8 s- \- i' L9 g: `6 z2.也要将clsid值也改一下: S3 }3 d% ?- s( Z
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
0 w( B" S6 d# Q4 xHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值: C* r* u" m- H  ^/ y8 {
也可以将其删除，来防止此类木马的危害。
# y' u3 a7 F! k: m: b

* n5 A: {% f7 {& a2 P2 u% g三.使用Shell.Application组件. @3 i: H7 F  ~1 C- a

2 i) _& p9 V6 o4 \4 `# V9 F
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。; _6 q5 V6 D& ?
HKEY_CLASSES_ROOT\Shell.Application\+ h4 p. W3 V1 b$ J
及% c# F. {! S; `4 G
HKEY_CLASSES_ROOT\Shell.Application.1\, Y; C( [9 e% X. S; b( S/ K
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName3 F$ q% w3 g' F
自己以后调用的时候使用这个就可以正常调用此组件了/ O: q' C3 Y; e7 k( p: r( K  C$ ]9 q
2.也要将clsid值也改一下
5 D2 Q" Q8 ^# E$ {6 J8 HHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值9 Z3 K8 u  t1 D+ x9 r$ F
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值& J) H% s6 Y3 M) H
也可以将其删除，来防止此类木马的危害。
0 f' F3 r: W* X7 ~1 u) n: n* i3 }4 e8 |) o
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
& I0 s, C* s3 q) Ocacls C:\WINNT\system32\shell32.dll /e /d guests
/ x5 P, L! R# c  M" C0 S! j

' F# u6 x5 `3 ~/ J% x: m四.调用cmd.exe
3 b% |/ A. q  O

+ h7 E* n) P* f' m" T
禁用Guests组用户调用cmd.exe命令:5 d- |, g5 U! D0 c9 _7 }
cacls C:\WINNT\system32\Cmd.exe /e /d guests; q8 |) C. z: P; {/ A

6 E: i1 E8 u8 Y5 f* K* w* ?

2 j; p+ T5 O% S1 b2 H, O五.其它危险组件处理:: V3 [: m* M6 Z6 V

5 H% g( x: d+ l- I2 D9 j, i7 H' kAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) . |2 u. l# |6 a- M% B
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
( `8 T7 j3 J' T3 k7 ~% rWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
6 M1 G- m2 ^' X; C

( p: a& W  A3 q$ M3 J2 N+ A# E5 o+ p/ j- z( R$ y" b0 s; C
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.6 Z. l+ I' S4 B1 q+ O
" z# F* V0 Z4 w6 x# f
PS:有时间把图加上去，或者作个教程

柔肠寸断

我本机测试了下! z& r) \' ]" |- g0 \+ Z7 `

1 P. D3 ]5 t: @6 F" E5 I2 D2 q# g如果更改了相应的组件之后，ASP木马就完全打不开了