[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

6 Q1 |3 |2 k9 a: u. }
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队7 C0 p3 @% V& [! V3 j
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.! P3 D8 o' K) M9 v9 x8 \
FileSystemObject组件---对文件进行常规操作.6 i8 U# }. m6 i p" f
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.
) o N' \9 m6 `4 n0 i. j1 s
一.使用FileSystemObject组件

8 R9 j* J$ K- i1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.( V: \1 z, u# `/ z+ L9 t, [
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\+ C4 \  }+ b3 T- k' |1 l5 M$ g
改名为其它的名字，如：改为FileSystemObject_3800
( E' H( V5 L. ~) D6 D' q) V自己以后调用的时候使用这个就可以正常调用此组件了.* q2 W, M3 f# B8 V
2.也要将clsid值也改一下
8 Z  J# W% w# X9 _3 [HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
) l$ g" |! g  f: w/ E可以将其删除，来防止此类木马的危害.' z% c+ S$ Y' v& [& E
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
7 j1 ~1 N( W! Y7 U# Q2 V如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件% o: e; Q. p  T& v$ J: a
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:* j7 ~5 U2 }+ ^' L' @. \
cacls C:\WINNT\system32\scrrun.dll /e /d guests1 z1 c( n0 A, `  X2 ?5 X

N7 q2 ^2 S+ {7 _9 T. x2 O

二.使用WScript.Shell组件

: w! Y/ K/ K+ W1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.4 W$ [( j4 N( |" p1 ~; s1 W2 g# x

9 a$ e: G" j1 L. h5 X: VHKEY_CLASSES_ROOT\WScript.Shell\
( J/ v& n# J8 U; q9 W及
# \/ X3 u1 t% J8 cHKEY_CLASSES_ROOT\WScript.Shell.1\" X3 V( G  ^  s+ l
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc+ B; s' U9 j, A  x! G
自己以后调用的时候使用这个就可以正常调用此组件了, R7 U: [# R( `

0 S  ~3 k& i$ A5 D0 v2.也要将clsid值也改一下  l- }- e# w9 E9 ^5 T$ u
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
) k- j- V' p" E$ [2 hHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
/ C) H% e0 q: ~6 U* p" g: F5 B+ ~* F也可以将其删除，来防止此类木马的危害。
1 @6 k7 P; O6 Z$ [$ S% e; [3 [' H

三.使用Shell.Application组件

. E" M7 d" E  J: l9 [% d. q
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。, v  G9 s1 u' V* t; t& @5 g) [
HKEY_CLASSES_ROOT\Shell.Application\
3 ~1 p5 F  G' [1 _. |" y9 Z及
* G! F: p# `' x" N% vHKEY_CLASSES_ROOT\Shell.Application.1\) h; I& n" Q( B
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName5 ^) w8 x& c$ O5 ]
自己以后调用的时候使用这个就可以正常调用此组件了" k' [, y* [1 f/ P- P
2.也要将clsid值也改一下( Z0 @) e! }8 z7 L" Y+ C9 p2 {. c
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
+ @8 ]7 l. J2 i) j7 iHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
/ z2 s: X, o7 O9 B3 _$ d也可以将其删除，来防止此类木马的危害。
2 P) G; w' q5 s& c1 m9 \  M' r0 L
0 v. F# {! x9 K" Z# f$ P, d9 D# B% L3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
% L0 B5 n" w! U/ lcacls C:\WINNT\system32\shell32.dll /e /d guests
& r2 P3 I! u/ s

四.调用cmd.exe

( [# k( T: Z9 }: {禁用Guests组用户调用cmd.exe命令:$ w7 j9 e6 ]( c- K! ?
cacls C:\WINNT\system32\Cmd.exe /e /d guests
X+ C0 D e4 J; R' d$ m) c

O/ l1 c' g1 H" N8 ]/ x% e

五.其它危险组件处理: _, M4 L p+ R. C' g/ B; o( q. B

# \9 p# y8 X* O: w
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
, T, n) F- T, ? N0 @WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
: R4 U. E! p+ @$ o: L' DWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
3 [- G* ^1 k# b# Z2 L6 |

- r. |1 f ~. P0 T) n
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程