[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

5 \" N! v( y. K1 D3 Q' y
' \, z! r! p5 g
原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
2 J9 e! e4 q" v  I/ P" p信息来源：3.A.S.T网络安全技术团队2 h$ [) d) z. H/ Q6 ^2 E
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.- P+ I* y" k+ |% C! {, k
FileSystemObject组件---对文件进行常规操作.- y- h3 Y" G" {8 S$ n( _$ i7 l0 J6 o
WScript.Shell组件---可以调用系统内核运行DOS基本命令.0 [5 f" @0 ^* N6 {- }
Shell.Application组件--可以调用系统内核运行DOS基本命令.
' u6 x8 x0 L+ s. ?! D. z' I5 T! e. c7 K5 @
一.使用FileSystemObject组件
( Q- _& l; k! O3 i( @' a

$ y& i" w% ~" R1 S) G6 r1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.2 `& S5 D1 L# p
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
3 ?1 t$ x/ d8 _9 f, P! ]6 i, u% I: w改名为其它的名字，如：改为FileSystemObject_3800
# x2 v8 Q, ^/ B2 l* h自己以后调用的时候使用这个就可以正常调用此组件了.$ W& b* W; u  I; U) {
2.也要将clsid值也改一下' T: Z  `1 |+ r; b/ b2 M$ k
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值: q6 H7 ?* }$ a3 v, h
可以将其删除，来防止此类木马的危害.) A' u; b5 g# M3 u
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
$ X& g) ?' j! P' E. R7 u/ P, i如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
( d3 W+ w$ ^3 G& R: e4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
5 d+ R- d- a3 H, Ccacls C:\WINNT\system32\scrrun.dll /e /d guests. m# r& }9 D6 X" g3 |

- f8 E/ r6 w0 U7 f) @. s
4 S7 t- [: l/ A5 u& |二.使用WScript.Shell组件
5 e. ~2 P+ I3 Y/ ^! m$ t' y8 p

/ a' Q+ @3 L+ ~5 ]0 }( x1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
! o/ I& J  x2 o- q  |4 r
, e2 B( z9 K2 EHKEY_CLASSES_ROOT\WScript.Shell\
' _/ D+ E* P8 X. W1 ~2 ?及
% o$ f8 {/ u; W# A% w- qHKEY_CLASSES_ROOT\WScript.Shell.1\) [2 C0 V" Y9 `$ i4 q/ W
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
1 \7 E: }; s/ X7 [% J$ h: y+ e自己以后调用的时候使用这个就可以正常调用此组件了
3 p/ c5 O; H1 d( M2 p3 S' m7 n
* V3 o6 Y- c7 r' Y+ `% X2.也要将clsid值也改一下
! [7 u5 `9 C2 C- aHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值/ f$ a# d8 ^6 i5 |9 a
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
- m5 O% _3 y! N5 o) j. z2 h也可以将其删除，来防止此类木马的危害。. F: E" p8 y) F  [0 c) d7 y

! l3 A  l5 C. c( Z1 K+ s+ a
三.使用Shell.Application组件6 p- z" C$ v* @( e/ k

% Y. [, I8 Y( |  Z' v8 |, ]; e1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
  l4 O4 k9 n/ U7 }( zHKEY_CLASSES_ROOT\Shell.Application\' n; X. N" g. E8 f6 g% E
及* b( J$ i: \' L# N! _# b7 w
HKEY_CLASSES_ROOT\Shell.Application.1\
# k1 i9 p! Y% Y8 ~改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName) j' h* W1 N% S. k+ ^, r8 e- V5 t
自己以后调用的时候使用这个就可以正常调用此组件了+ d0 l1 p! [6 ]$ ^2 D
2.也要将clsid值也改一下
: N( B; W" g; o( d* x; c/ d  X+ kHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值/ f. P, H8 M6 _# U/ P
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
# ]2 \6 S/ P: l也可以将其删除，来防止此类木马的危害。4 @( W; q5 Y7 w& c4 [5 x9 X3 L

1 Y3 B$ U2 c- u, j8 k3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
4 f; I3 o/ f; A! p5 L) Mcacls C:\WINNT\system32\shell32.dll /e /d guests2 |- ]( s+ g+ R" I) R' J0 n

4 |" F( i; x# R: x! |
四.调用cmd.exe, I. o# f8 @: O- E& z  I" W6 x/ q% G) l

+ W0 ]1 A5 E2 r. j# `
禁用Guests组用户调用cmd.exe命令:
) V8 f3 y0 G, G# B, U3 n! icacls C:\WINNT\system32\Cmd.exe /e /d guests
* E( I  }# k8 @6 }

9 H5 H" s( I  I& z) D
, Z7 s! K, K# D7 H* D, J8 ]2 d6 W
五.其它危险组件处理:
5 F/ D. S$ [3 c- L  i

, e5 C5 |) k) ?7 m% e9 b$ c* m" l
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
) x% V+ w6 u. O5 NWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)3 {/ M/ E5 b! m4 w( o/ ~
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
: F. B, i$ w9 w1 {

0 y* k! x: Y: p2 B5 s! c# S  y

( P) v6 S8 t; ?7 ^% F+ q6 }0 F, P/ c按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
2 I- e& {3 w4 j: I: s! a3 X/ d+ x3 x
PS:有时间把图加上去，或者作个教程

柔肠寸断

我本机测试了下1 e; Q! N% G9 H) |( _2 E) N

; [: H: k' ^2 B2 E9 p如果更改了相应的组件之后，ASP木马就完全打不开了