[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

3 ~/ }- K" K; i+ g1 k

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队" d: N1 r8 J$ r0 E* y/ G
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.% j2 w, d' P7 Q ]6 a, r
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件

; i/ D: ?* D( ]- H  O1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
9 t! R& T9 @7 a, [; _HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
! {2 N7 i4 H8 l5 ?4 r1 p" ]改名为其它的名字，如：改为FileSystemObject_3800
: ?( c$ @" Q" G1 x5 K$ }自己以后调用的时候使用这个就可以正常调用此组件了.# m9 W1 w- i: Z+ x, K* a
2.也要将clsid值也改一下1 j, T$ j7 m6 z4 ]" L& r/ p
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值5 r; n* ^7 k5 u+ ^8 Z
可以将其删除，来防止此类木马的危害.( Q. N" o9 ~% B% f& w0 n0 z
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
+ M! K) i" U6 h! Z如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件: o6 N# }+ r8 T# x% n) V
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:) Q) k8 K6 m% ^+ Q$ \  H
cacls C:\WINNT\system32\scrrun.dll /e /d guests: T9 I; f1 J3 t* {8 b, r( v; a

) N2 p; h* s V7 D
二.使用WScript.Shell组件

' n! m% X/ @0 O9 o2 X1 }- i4 _1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
, K- U1 M( T! u, V; ^3 F. K& l0 }. `, j* \0 }) p0 z) _
HKEY_CLASSES_ROOT\WScript.Shell\
; r4 s( h$ \; X# ]9 @; S4 f及1 c7 `+ ]9 L& b; l
HKEY_CLASSES_ROOT\WScript.Shell.1\- i. s. Z. G9 ~/ x
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
( q* g! U f! g% ^# I7 u6 J/ k$ u自己以后调用的时候使用这个就可以正常调用此组件了
/ `% z; H e) G% l
: S. H$ h) M2 U; ]2.也要将clsid值也改一下) `9 S) f6 W( T) Q
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
. M4 q" e4 ?9 O" b1 @- ]6 hHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值8 e( S$ {: O+ {& W9 I! O0 e+ {
也可以将其删除，来防止此类木马的危害。3 Q4 p0 l9 y0 z. O

) m l8 q5 h" z" p& j/ D3 z
三.使用Shell.Application组件( l3 Z5 i/ P' A# ~

. Y/ I1 b6 ?' }0 E/ g. R1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
3 a5 [6 G: s# ~HKEY_CLASSES_ROOT\Shell.Application\
: r2 o4 C) f6 w$ `( S及
2 c) p/ t  C0 s! D! w* ^HKEY_CLASSES_ROOT\Shell.Application.1\; }$ ?: F9 P9 m1 I4 F
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName5 i# s/ ]+ B$ \0 k
自己以后调用的时候使用这个就可以正常调用此组件了
+ C* K/ G9 A/ Y6 K7 P4 W, o2.也要将clsid值也改一下7 F' W0 r4 J  ]7 p
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值1 s+ ^. }$ K8 N) l3 \7 y  q5 O- _( @+ t
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值+ V" {. B, Y; Z) E8 r4 Z
也可以将其删除，来防止此类木马的危害。
4 f: {3 G, v! V
1 T" j( s8 V! M3.禁止Guest用户使用shell32.dll来防止调用此组件命令:' j" r1 {+ D. g
cacls C:\WINNT\system32\shell32.dll /e /d guests" |( R( `3 W4 h* G. A- |! N& a' h

四.调用cmd.exe' y: F( P8 L: d

6 v- j- Z8 W- w7 E1 w
禁用Guests组用户调用cmd.exe命令:4 x$ Z# X, g5 F! Y* q" \5 A- J
cacls C:\WINNT\system32\Cmd.exe /e /d guests2 L" \* j; ~% q$ ?* D4 a

5 V2 u5 l* r8 X0 i

五.其它危险组件处理:5 t: ^8 b1 O/ q9 Y

; `9 w: B' x0 j. r- E
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) ) h( F& Z) N, {" D" w8 {; L
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
) B3 W+ w, w. C8 Y. XWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)2 @- h% P" `' E8 s8 A$ o

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
7 D* ]9 e ^) F5 j \
PS:有时间把图加上去，或者作个教程