[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

2 N0 e0 l' V5 t2 T) ~' |. O W
4 i/ p( F; b2 }9 w& t
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)/ Z0 m! M3 t" q# e' A8 S+ {9 p: `
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.) M3 J9 o8 k& k
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件

: E  v0 H) M' w# C
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.( ?* _1 F3 Q& R* A$ z4 R; _3 a& {
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
  C- Z6 h" v' L$ i% Z0 D1 ?改名为其它的名字，如：改为FileSystemObject_3800
1 a' p" m' Z4 b+ E$ ^# C) P3 _自己以后调用的时候使用这个就可以正常调用此组件了.2 L: C/ B/ G! K$ x) @8 Y
2.也要将clsid值也改一下
! s/ @( [: C: @" f1 v# a- i$ qHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值& l/ p7 |) V1 K* p4 u) Z
可以将其删除，来防止此类木马的危害.
  j% u# |# c) K! D# V9 v3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  / E, k4 E; T( d
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件  Y2 s; K! e1 u
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
9 v8 a- Q- v2 A& j5 O& Ncacls C:\WINNT\system32\scrrun.dll /e /d guests7 V9 V) F. l/ x" K& k* |

/ H: I( \7 j. X
, p* }( f( n3 n2 s1 n2 d7 S
二.使用WScript.Shell组件& I1 r) V$ v: y4 Z0 P3 z' o

) X5 P$ c. S7 i8 U8 S! A( L. G1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
! M+ Q1 q: ]# l
; R8 F2 u& y! S3 X% A$ x/ g% ]HKEY_CLASSES_ROOT\WScript.Shell\, M1 u+ f6 h; M1 O9 u
及3 a3 y4 d6 i; b* [9 d# a L
HKEY_CLASSES_ROOT\WScript.Shell.1\
( \# R. k; c7 a/ \/ d# Z改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
$ I, K7 [" l% R( J: m( ?# K自己以后调用的时候使用这个就可以正常调用此组件了, f& S- n" h* Y. `

7 d2 E- r$ S! o& k& _2.也要将clsid值也改一下
6 }+ x1 Q1 j, {' VHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
2 U G& w* K8 s7 o. H1 lHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
8 e; s1 _: Y# Z) X8 m7 u- t也可以将其删除，来防止此类木马的危害。) i9 Y3 g/ F# Q# H

: O- E: G5 J+ E
三.使用Shell.Application组件

) h4 J9 `6 z7 l6 _5 @: n1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
( |9 M8 w! j* X! w2 gHKEY_CLASSES_ROOT\Shell.Application\
  O( g% ~; ~& s. s9 t及
5 j* Y1 b, P0 u( P8 d% I* ~HKEY_CLASSES_ROOT\Shell.Application.1\9 M; `0 x! K9 e/ p# F# _' T) M) q, j& L
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName/ G8 \: a/ b; d& {) d
自己以后调用的时候使用这个就可以正常调用此组件了
: r7 T0 f# |: ~: _0 s$ J& ^, f2.也要将clsid值也改一下8 _5 ?% n3 I9 Q& B
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值% Z3 d2 _" N3 W7 q" n" K
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值* v2 |" P  e# x2 Z/ d3 ~( `
也可以将其删除，来防止此类木马的危害。6 f& X1 ]6 @$ K$ n0 Z( C" n& ~

! t5 x4 x1 k# }  D3.禁止Guest用户使用shell32.dll来防止调用此组件命令:' Y6 t8 H7 F) ^+ J6 E
cacls C:\WINNT\system32\shell32.dll /e /d guests
9 W. U" `9 @2 I2 I6 ~6 B7 T

四.调用cmd.exe

: y! u h7 z) |* z! q% i禁用Guests组用户调用cmd.exe命令:
/ O; {0 u, j2 Z# X$ F, A" Ncacls C:\WINNT\system32\Cmd.exe /e /d guests4 E6 V. Z" A6 H: C" i; L

+ G$ N4 _* `" O
五.其它危险组件处理:

+ i6 u: k/ u! M) i* \* E
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) , `* {% p, V# q1 q1 Q: v
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)9 J- j$ c" C2 K$ ?
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
9 }, I; R# u! Z( k

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程