[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

4 _; N3 p1 I2 h$ f' {' x
( G# Y% h+ y: g# N. g  v0 w
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)* W6 Q, d* g" @% g8 C( L& u
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.8 B, D% Z! |" }& B" l$ s+ b7 Y" {5 A  n+ ~
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.6 e. L8 \7 n( e! G
Shell.Application组件--可以调用系统内核运行DOS基本命令.' {+ \# A4 C7 ]* i7 `; h, U
, |, C! X  J) z" b& _! q2 `- A
一.使用FileSystemObject组件

" y C: G- q; A0 p
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
! V$ z1 I+ \( m% hHKEY_CLASSES_ROOT\Scripting.FileSystemObject\& m/ [* ^8 p0 y/ j; H
改名为其它的名字，如：改为FileSystemObject_3800# Y" t8 O; ?0 d; h# t; y
自己以后调用的时候使用这个就可以正常调用此组件了.
% X3 n6 ~3 z% n6 m( t$ y3 i6 |2.也要将clsid值也改一下" @1 q0 M2 |4 |1 ~$ `/ |" K: ]8 N# t
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值: M$ o/ j5 ?7 N4 ]$ G9 ^
可以将其删除，来防止此类木马的危害.
g/ A, o) n9 k: G; r3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll : x. b7 N1 N; B {) E6 M% Q4 ]
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
7 z1 F1 j$ X! c# e9 y# u# b9 V4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:2 v/ _8 k; ~1 v$ m, T1 n
cacls C:\WINNT\system32\scrrun.dll /e /d guests
: L4 N9 o8 j. \+ Q8 T

. b5 Z/ y) _% o' g X% D3 q3 i( ]
二.使用WScript.Shell组件1 h0 i: A" a8 z- H: c9 [6 m: r

8 Q" k+ N. i# k% w: b
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
4 K. }& B5 @9 g/ c/ z3 s: t5 h$ E
HKEY_CLASSES_ROOT\WScript.Shell\* Z) G% ?% Z3 b) e/ \$ ]
及
3 a. B  C1 `2 |* J' a4 C6 MHKEY_CLASSES_ROOT\WScript.Shell.1\' L9 A# A3 R& p0 ]
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
/ K$ O# p* P% Q0 f# j1 i7 n自己以后调用的时候使用这个就可以正常调用此组件了
* A( f+ f8 p; T  F& M% N0 k0 \7 i7 c4 X* n
2.也要将clsid值也改一下0 E7 `9 g, I% [% P  g2 f
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
% b* F+ k2 S  S: KHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
' V  M3 p. Z9 _) L也可以将其删除，来防止此类木马的危害。
5 X( A# _& u  [7 P- x0 [- \  C. ~

2 K8 G6 [ ?5 ^" T; {2 ^: u
三.使用Shell.Application组件

; |; n  q3 H2 c: B, v/ u$ U1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
" L" T' ?/ Y% v- {6 q+ fHKEY_CLASSES_ROOT\Shell.Application\1 k1 g( A: O6 @; ~' c
及7 k# s6 K/ d2 e2 z$ Y, X) n
HKEY_CLASSES_ROOT\Shell.Application.1\
$ J) @3 N: ^; ~改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
0 G; M7 _) n/ y, a" V9 V7 \1 X自己以后调用的时候使用这个就可以正常调用此组件了& _8 t: @2 x. G- G! G
2.也要将clsid值也改一下, C$ b4 ?0 G) a& g$ [
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
6 J+ V6 f% |3 F6 c) SHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
' V7 ]* ~0 i, A也可以将其删除，来防止此类木马的危害。
  H: ]' E9 y) l  u" C9 Z" b) F
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
- U( U- E+ Q" X6 O& F  kcacls C:\WINNT\system32\shell32.dll /e /d guests
9 @- W! A# {" E* b

, W" U* W* Q' k0 {- r
四.调用cmd.exe/ f) k* g! V2 c9 ^* A: |

+ _" Y* }) }, K7 x- U* K, C! G
禁用Guests组用户调用cmd.exe命令:+ P G9 v& B. B) G y6 H0 }
cacls C:\WINNT\system32\Cmd.exe /e /d guests
n( f+ t' w5 J1 @! m! b' p

+ H5 T- H% K% u

五.其它危险组件处理:

0 Y3 @; T0 b5 U  o: ?/ F' e$ P$ BAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
! Z9 c; [, n0 {, C8 g, ]  NWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
2 m2 B& l6 t! ~6 p2 T3 VWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
) O3 N, z0 L8 m5 Z6 s6 r  D

2 D3 d0 z! N' | ^2 _2 V w4 @/ j

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.( Z' g$ V- P6 i9 B; `
+ l$ L/ ~8 ?6 @, b* l
PS:有时间把图加上去，或者作个教程