[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

4 O& I6 Q9 ~2 B* M

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)& [7 L4 ]8 J0 \
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.$ b3 ^4 @3 g! F7 j7 a2 ^2 L
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.
& s) k. B) j. A2 f
一.使用FileSystemObject组件

0 c/ q$ x7 s  _/ m; _
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
; l  G8 B9 Y1 F' P8 {* v$ VHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
0 D; b+ F# d0 a; E# P: l改名为其它的名字，如：改为FileSystemObject_3800$ U6 J0 x" t5 ~
自己以后调用的时候使用这个就可以正常调用此组件了.
2 w# S3 D+ i. s, Q& R# \  L2.也要将clsid值也改一下! i' R5 t4 Y- H" U% t' l4 K
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
5 @8 C3 L( O' ?9 L; d5 P( n$ S可以将其删除，来防止此类木马的危害.3 c! _1 S; {) q9 V: Y) |
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  ( K) |7 ?6 f( k* Q: I* n
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件0 Y" Z. n$ ~/ D4 ~
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:, h3 Z6 \' _- @- U7 V. E. }
cacls C:\WINNT\system32\scrrun.dll /e /d guests
/ o8 l1 l+ a, k( E* ?% D, E* I

8 c8 y4 f/ i K0 p
$ l) r# G' x* t/ b. S
二.使用WScript.Shell组件 }5 |3 C: c4 Z# {7 `

2 N3 c7 s; u/ j, m
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
* @: r( c- ?4 o  M- F; y! J8 h3 d% I1 {) b" X: `! ^
HKEY_CLASSES_ROOT\WScript.Shell\
" H$ {5 Y0 E' j! l0 m及
0 i3 C4 a  n: n& C8 V  `. r. aHKEY_CLASSES_ROOT\WScript.Shell.1\
7 c6 B3 f5 {0 u改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc. _; F2 ^& F( w& f5 q  u! W
自己以后调用的时候使用这个就可以正常调用此组件了
9 D& R8 b6 S! v* d; P. L1 G
! p( y: p7 @' M+ k9 q& z5 U' B2.也要将clsid值也改一下9 p8 s$ f! B% {/ U4 v+ m# V
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
/ l$ R9 h* c2 K4 A$ H5 y0 F5 ~& j( v. OHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值( G* z$ T" \( @
也可以将其删除，来防止此类木马的危害。
' |# i% r! S4 ^5 c* R! N

三.使用Shell.Application组件' s+ `2 _3 ]5 w

' h  Z( u- j3 ~1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
8 Y9 W5 J' y) R* F7 iHKEY_CLASSES_ROOT\Shell.Application\- C* `: X( t, K8 E0 p
及( {/ v  O2 Z" d+ O% z. {! t
HKEY_CLASSES_ROOT\Shell.Application.1\8 L( ^2 c/ P6 t6 A
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
  n& p9 S8 c- f, v8 e自己以后调用的时候使用这个就可以正常调用此组件了
  O- H$ q/ }9 t2.也要将clsid值也改一下
6 R7 T% P1 L! u& V" ZHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
; `8 r& _) P; F5 D- N1 nHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
% G9 _7 l3 d: n) O' w. g1 N也可以将其删除，来防止此类木马的危害。
( i5 |1 H" |2 ~1 X
' m  O% }  }8 ~" V# _5 a3.禁止Guest用户使用shell32.dll来防止调用此组件命令:. Z) _8 |" f" L2 L$ h
cacls C:\WINNT\system32\shell32.dll /e /d guests
. x" O  i" ?2 y6 I+ d' k

四.调用cmd.exe/ j5 j! l) P; P( a6 j

3 U; ]5 @9 B: _5 i& y
禁用Guests组用户调用cmd.exe命令:3 P: }0 S# f" H3 t2 ^, Z1 X
cacls C:\WINNT\system32\Cmd.exe /e /d guests* A2 A& }( p* c0 ~

6 @! [8 @" t& z$ k% S+ h m# Z$ |5 q
2 \: ^. x- z; m& X- Z; a5 R
五.其它危险组件处理:9 `) G% s" y& u1 J* {2 x7 ]5 t0 V. a

0 d5 D% Q' T+ C/ e% E9 iAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) + l; P# `% H* j; a; ~* E
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)# B- w$ N1 B& ^) X4 C. n2 Q
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
2 o2 ?: j1 F% V+ D2 v$ M* e1 ]6 i4 b

6 L4 b# E9 c2 W9 a/ _6 \' V: N k
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.. @& J. _$ V9 }( v9 A' p( X" o4 Q7 V
, Y0 Y- Z7 B K9 p. F e# I( r; \
PS:有时间把图加上去，或者作个教程