[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

. i- P% G9 _/ B: x/ |+ o- A

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队! E/ F$ U9 D2 {& [
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.; e. O& J& { K) D. S5 O
FileSystemObject组件---对文件进行常规操作.2 n. U, u: q9 O7 c6 H9 _
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件! G5 P5 E; i: ^' \6 Y% C

, S" z" c7 e: [$ V1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.+ Y& J$ R+ L1 y E: y
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\- t1 D4 g1 x& b6 s8 F# c0 E
改名为其它的名字，如：改为FileSystemObject_38004 ^8 Q5 C5 k4 ^& y- \
自己以后调用的时候使用这个就可以正常调用此组件了.
% Z* K( [: `% [2.也要将clsid值也改一下
5 K# v4 s5 {0 lHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
7 Q& z+ A2 U& J可以将其删除，来防止此类木马的危害.
]' V$ o% p3 L+ E( X/ e2 q3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll " K5 C" T" S. v
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
$ b( h% k1 r9 A- ~) T- ]4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
3 y$ f1 V* P$ U( ocacls C:\WINNT\system32\scrrun.dll /e /d guests
+ A% Z2 p3 b1 k0 S. T

' G5 T3 Z% P7 o6 `9 b$ q9 _/ k" Q
二.使用WScript.Shell组件

, t, l& r- B& a  X; T& S# q1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
* s- }" R; B: w8 u1 C2 ^& w
2 q0 s7 K% U6 D7 c# y: U1 K1 LHKEY_CLASSES_ROOT\WScript.Shell\% u5 s( k$ G  [+ [8 z" C+ E
及0 c6 ]" `. K: X" Q# d5 P& [
HKEY_CLASSES_ROOT\WScript.Shell.1\
6 z, w: t& k7 O  C. x改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc3 H4 {) `, r7 Q& O6 B; q" W( }
自己以后调用的时候使用这个就可以正常调用此组件了
- R; B0 h8 e. f' G5 c5 F, L0 S1 `, e8 ^: ]
2.也要将clsid值也改一下# ~: u: T5 f& k
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
! D9 ~) D% j2 @/ M/ hHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
* [$ S* v& K# s' p9 c3 {" |/ ~也可以将其删除，来防止此类木马的危害。
: h- H0 |$ p& h7 O3 Y( N& w  u  H

三.使用Shell.Application组件

" c; p$ e1 S- ~' z- M, K9 T1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
- ~+ i! L, q& N  r  V# V/ @( J" ^HKEY_CLASSES_ROOT\Shell.Application\* j6 l/ F$ {0 v7 E
及% X1 d8 o" R3 }1 J. Z& j1 E% u# Q
HKEY_CLASSES_ROOT\Shell.Application.1\! z& p' V! A; B$ c0 e; E6 p+ H
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
# L' v- [% C3 B, ?自己以后调用的时候使用这个就可以正常调用此组件了, H9 r4 K$ Y: t; p, ~* v
2.也要将clsid值也改一下% G  q% s- A* `* i
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
; M5 F( S3 W" }- Y. r( iHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值2 W; p/ [. n# L2 H
也可以将其删除，来防止此类木马的危害。. @6 v5 _; N( }+ K5 z! k$ C

$ U; J0 L4 r6 c6 ^3 u3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
, S( ]% r  r% h4 Scacls C:\WINNT\system32\shell32.dll /e /d guests; V& u: H& Q: }

# r* y$ r2 X8 I* U/ [
四.调用cmd.exe( ]5 s( Z8 c# i

- I+ _% B9 E4 B禁用Guests组用户调用cmd.exe命令:
6 D6 z; ]. W/ p5 G2 Acacls C:\WINNT\system32\Cmd.exe /e /d guests
$ P! G p3 V, ~

. x1 ~, s4 Z4 V# @; ]0 R# B8 h5 [

五.其它危险组件处理:/ g0 r% J: J, s# g. N j

2 @7 b$ M) ?1 W& m6 N u6 B% u/ O/ |Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
8 s) @$ f* m! [% X4 WWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
3 n, T; P! E& ~' G: G5 S# T u8 LWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)+ x% i; N* C3 N1 X2 d

! U$ N! w3 w$ l0 j/ b: n
3 l {- V1 q6 m3 |% G* K* _
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程