[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn). U; @6 v1 C/ V9 F3 e
信息来源：3.A.S.T网络安全技术团队- `# ^. \: A2 y& I
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.) D6 C# b* X; j, E7 ?, X
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件

4 A+ B6 `7 |) c* J( T* E1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
8 U- H$ N' R0 @# n! vHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
$ ^' r( `; p$ M0 N1 z4 R改名为其它的名字，如：改为FileSystemObject_38006 G" a9 r8 D; h. D0 `
自己以后调用的时候使用这个就可以正常调用此组件了.
( {3 J, {3 s1 F( {/ G  h" x9 V( g4 M2.也要将clsid值也改一下
( O  \; }  K. B) G, w+ ?; kHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
' E0 [0 ^! F% m% K  j& X可以将其删除，来防止此类木马的危害.$ a0 e2 P/ K( a3 V1 i* G
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  1 J) A; @2 e  c
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
5 A; v( [3 K5 d4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
. I# d3 g( {( S$ m% p) Scacls C:\WINNT\system32\scrrun.dll /e /d guests
7 i9 D$ l' |/ k1 s

$ Q: o9 h% v E
二.使用WScript.Shell组件. e2 o, k# L$ {- ^, b. J1 g

2 c5 {6 n# y# h1 J& z# T; T8 U1.可以通过修改注册表，将此组件改名，来防止此类木马的危害./ B/ D' E. Q: H4 F

& D1 B& M) j$ m) c9 \; \HKEY_CLASSES_ROOT\WScript.Shell\
$ N  }. |" K5 j* D4 F及
2 q# v) q+ A4 I" b; NHKEY_CLASSES_ROOT\WScript.Shell.1\* f0 Y8 P+ p  k- s; O) D' P# p
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc# _3 J/ C* _" ?2 x
自己以后调用的时候使用这个就可以正常调用此组件了( q  H( Y4 v: m8 T1 h
2 C* k' [5 K% f7 E+ @# m8 G
2.也要将clsid值也改一下
/ x! U6 q* N% d+ J+ d' `HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
7 L1 i& k' E8 {$ e  N9 q& }HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值$ C9 Z- A( ?2 J0 }
也可以将其删除，来防止此类木马的危害。
. {1 ?! i0 D1 h/ A

. F* l! |; r$ G$ I A7 \
三.使用Shell.Application组件

* ]2 o2 _+ b& {6 Y* Z/ T' S1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
, l7 L5 g2 Z: \HKEY_CLASSES_ROOT\Shell.Application\9 j: v" |2 ?9 c1 V0 `9 \2 D7 I6 o
及
) ^; u( U8 f3 Y" ~HKEY_CLASSES_ROOT\Shell.Application.1\, \/ ~/ E7 n7 x, z9 C8 |( ?
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
! N9 ?$ _) x6 R+ o& l+ @. D自己以后调用的时候使用这个就可以正常调用此组件了
2 B' u5 ^$ H& g, t+ b2.也要将clsid值也改一下
N/ A7 Q; }: w' x# [& M' ^5 ]5 SHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
2 p* I! B# z0 r" XHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值' O- W9 Q! e1 S. ?& I' c! \7 v5 g
也可以将其删除，来防止此类木马的危害。
G& U; O# d9 V8 R8 c- y: H
$ k4 \: o$ k4 F3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
! i9 v9 I9 Z" D+ D: ]cacls C:\WINNT\system32\shell32.dll /e /d guests- u; {& }( c1 F

5 F% C2 B5 G5 u7 O. y/ P% L
四.调用cmd.exe

3 T0 f( B Q$ `' Z' V禁用Guests组用户调用cmd.exe命令:' ]" V0 M* @3 V
cacls C:\WINNT\system32\Cmd.exe /e /d guests, q1 U/ A' A7 \0 [5 I m2 V

- |; S8 J7 o. b; Y& d3 C

五.其它危险组件处理:

9 d+ y( Y0 Y( F
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
( j$ n' b; l" tWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)/ n1 b. u) Q, `) B# [& @# \: v
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)% H, T- D5 L9 ]/ |* K) g

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
+ v8 u5 O4 J! q; f. k; F0 ~, O7 ^
PS:有时间把图加上去，或者作个教程