[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

2 V+ V( J1 K6 p' I
2 E9 D% r( K/ L
原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)) I: H% U6 m8 s8 S8 ~+ i
信息来源：3.A.S.T网络安全技术团队
) t" j( ?8 Z$ }! \防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.4 Q7 @$ H# V$ K
FileSystemObject组件---对文件进行常规操作.5 U/ L! Z' M* ^3 N# O# b
WScript.Shell组件---可以调用系统内核运行DOS基本命令.0 K- @) N- Q* {" B- x
Shell.Application组件--可以调用系统内核运行DOS基本命令.
7 Q, f, j# A, g4 s: o6 K3 @+ a  ~  y$ R' O( s
一.使用FileSystemObject组件& \  v: {, c% K3 t5 \

" S! X& D! |2 F( B) w  G1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.) I( t4 z* @! z4 w% l/ V1 ?
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
' i0 `/ i( L8 A# _改名为其它的名字，如：改为FileSystemObject_3800/ s: R5 ^" }1 t4 Z" b
自己以后调用的时候使用这个就可以正常调用此组件了.9 W7 A, P* n' V% S# _! ?, \
2.也要将clsid值也改一下* k. w+ d/ _, y/ S: P) D" ]3 }
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值% H* T, I0 }7 X8 U( b
可以将其删除，来防止此类木马的危害.
7 n2 o! }0 V4 b. \3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  7 O: l8 l2 X4 \* b9 d7 f# D( Y1 s  ^
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件7 L9 x4 T2 ?# P" b/ [8 A
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:* F7 h* U' T" b8 }2 A; T
cacls C:\WINNT\system32\scrrun.dll /e /d guests! m/ v" ?1 ]3 S) z+ b  V

+ Z- B5 ]' V: A% @
; _9 t, X' |% Y" g0 U! W+ E: O二.使用WScript.Shell组件, [$ Q6 h" @8 y' }+ O8 F

5 K3 k' U* h/ H" X" D1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
  J* X2 O3 O! i: t$ T0 f4 \) f# K5 K2 C8 a: O+ Z& B2 G( v& |4 {, ?
HKEY_CLASSES_ROOT\WScript.Shell\' N, `. r; ]8 v2 o  a/ ~
及" l  ~9 V! i# m
HKEY_CLASSES_ROOT\WScript.Shell.1\+ R4 R3 i/ Z: S4 P! |
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
7 i9 n3 _! N: J+ J# I自己以后调用的时候使用这个就可以正常调用此组件了. z0 H6 R, D- `: E. D" d

$ D- d- J! J  Y0 Z4 u2.也要将clsid值也改一下
  D: U2 M+ {: G5 d  G; AHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
3 e+ e* D/ k, W% @1 ]HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
* C0 F/ A: Q5 u$ M" {+ W0 A2 {' l也可以将其删除，来防止此类木马的危害。9 Q, _& V7 I4 \- z

+ z. W! G5 W3 q' V9 W, X三.使用Shell.Application组件  |& A! R9 Q% U- A1 I8 x2 r

# b/ u9 r" W& a# t$ V4 ?8 x
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
5 y8 a" o( @5 {6 ?HKEY_CLASSES_ROOT\Shell.Application\% d. T- n4 W. `) s
及
/ @8 c% B7 C  x$ o9 FHKEY_CLASSES_ROOT\Shell.Application.1\% I# |/ S9 Z8 M: `  ^5 A, A. A6 ]. Y
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
5 }+ Z4 T9 q+ k自己以后调用的时候使用这个就可以正常调用此组件了4 }/ R: f7 K+ c) D
2.也要将clsid值也改一下+ P9 S% L9 ?% v. k! U4 ]5 [
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
. x; _8 ~/ J& l3 c, u& THKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值6 z  C+ ^. S% k4 g
也可以将其删除，来防止此类木马的危害。! |4 |- v, Q4 m. n8 Q% j8 ]
: g6 _; W! ]7 v% R) z7 [1 d
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
6 a; Z1 {* D' a  y0 Ocacls C:\WINNT\system32\shell32.dll /e /d guests) o* J: J5 _7 [7 ~; k

; {! b' E8 u- T
四.调用cmd.exe
$ ?# l( W) H7 s0 j$ [

) }6 C: N" M# m$ X7 d: t/ v9 e
禁用Guests组用户调用cmd.exe命令:1 j+ S' [- N9 x, I
cacls C:\WINNT\system32\Cmd.exe /e /d guests
$ m4 I- F! D% f5 d/ x

+ q! I6 P. q2 n4 y
2 X# @) g. i5 [/ y3 E/ o
五.其它危险组件处理:! z# V6 N+ R. D, |  N9 q

; p( y6 `* v* }0 {Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) ( e6 {: o: B# x6 }6 b
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
# q1 e. P* I% s- e) z6 D# s/ bWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
6 n- m; F, t) K0 q! G

) W3 l5 m: t$ I) s" I' d; K% ~) q$ y) w0 K2 v
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
) ~" J2 k! z2 L' [/ f" k3 `8 H
& m' R' A- D; V1 }0 e7 ?* HPS:有时间把图加上去，或者作个教程

柔肠寸断

我本机测试了下
7 ~: t: N, ]$ ^: g. Q& C6 Y$ R4 K1 @% l. B  W, A. d( C+ l6 D* i& u" X
如果更改了相应的组件之后，ASP木马就完全打不开了