[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

j5 C8 _2 m. Q# Y! O* `
+ W; V/ F! U0 G3 i4 {" N
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)' E8 o% h+ f5 ^* Q+ Y- x
信息来源：3.A.S.T网络安全技术团队/ K. L! i& S9 s4 i
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.. l* ~6 `/ A* e9 Q! ^) I% _

一.使用FileSystemObject组件

/ {( l; D" n7 k1 x' Y) Y
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.1 k( G/ g8 Q7 Q
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
- q9 u" R/ q6 M! ^7 h改名为其它的名字，如：改为FileSystemObject_3800
3 a, y) ~/ T, G# B2 S; X' \自己以后调用的时候使用这个就可以正常调用此组件了.
& }0 I* c9 @$ E  |# ~2 M$ y2.也要将clsid值也改一下
7 I4 c2 k. W6 J/ k5 ^/ Z3 WHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值9 R' ]  G) M: P: [
可以将其删除，来防止此类木马的危害.7 _1 U* ], g: |" L! ]
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
  _: _! R" H. l4 T  ?1 U如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
, F: n% H/ ^2 m& {8 W& A; V+ p. L4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
' N# K% J/ M% N. r/ R& U/ Pcacls C:\WINNT\system32\scrrun.dll /e /d guests. v6 U6 u8 ?' }

2 q* E. _( w4 I+ d" F& y

二.使用WScript.Shell组件7 `. m5 u) r' S$ [7 Y$ H3 i; F

8 q$ P6 G {2 c/ z7 F/ ~1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.: g) ~" J+ |, P2 T: ?: j3 \
4 [. L- i' a: C5 i
HKEY_CLASSES_ROOT\WScript.Shell\
; P- m U) b' G8 ?及2 ~# b4 N* J6 B! J0 P2 ?# @, o# w: W
HKEY_CLASSES_ROOT\WScript.Shell.1\+ [6 O6 {- V+ ]& f2 {" A) Q
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
" O0 |1 K0 O% n! b6 Z自己以后调用的时候使用这个就可以正常调用此组件了
7 O. [) z2 X2 J' r% J3 S- K# ~" ~2 C' w1 j
2.也要将clsid值也改一下
& {) @6 }! r; U2 P& bHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值, m! O% k6 f, ]- R
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值) j1 T* N1 r2 A0 f- \* U6 u/ s
也可以将其删除，来防止此类木马的危害。. c4 @8 ~# k: I" E0 j& }

三.使用Shell.Application组件1 [& f8 J8 x/ k# {9 B* ^

5 P1 I& _* h3 Y( z/ \! ?) ^1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
2 C  t4 E" X. |/ z- vHKEY_CLASSES_ROOT\Shell.Application\
! ]3 i! ~* }: [3 V及4 Y/ c/ p  U- l: t- T" ^: T& f& i
HKEY_CLASSES_ROOT\Shell.Application.1\
* ]) L: z; y  J& ^改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
5 s$ G) d+ ]! ]7 ~0 v% [7 n$ l自己以后调用的时候使用这个就可以正常调用此组件了. B; j2 Y  g3 W  P
2.也要将clsid值也改一下, ^/ b3 b/ u( N. m- D
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
( f) D, ?% C2 N. |/ O5 S/ jHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值1 u5 m* B/ U. X" q6 [
也可以将其删除，来防止此类木马的危害。5 V- q* m- p) L1 a7 C; t, a! W
+ R/ K3 E& G- H+ W$ [! q
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
; S% \9 I& w2 F5 w) ~  Hcacls C:\WINNT\system32\shell32.dll /e /d guests1 n# ]0 M2 S" ^; w" j3 x

. J& |$ w/ X" Y% | M
四.调用cmd.exe7 ^5 i% U. V) o% f) _' Q

# f; B6 r3 P) B! c) }
禁用Guests组用户调用cmd.exe命令:+ P) v8 j7 M8 p+ z+ U* _2 ?+ E
cacls C:\WINNT\system32\Cmd.exe /e /d guests
( `' J/ A: X; M' ?: t

5 C1 _1 i9 d$ T, r7 W, g

五.其它危险组件处理:$ p5 E$ n7 M1 z! h; G# i. `, J" Z

0 |2 |* n& w/ D5 a" l. o2 J5 p
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
' J: Q( |) q9 ]) uWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)- [* M1 S: z2 a% k5 Y
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
+ h+ O5 A. e- O6 }; | g

; u3 }% t6 k) q6 x/ |
9 c2 H" Q o: {& z6 r
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.5 L& {: D9 ]' V2 s- `* o+ B* U& k
$ V/ S; r" U3 _# i- y; L1 m
PS:有时间把图加上去，或者作个教程