[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

6 X6 S, x5 b: ]) c# ^* [, H6 q
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)+ w( }( x( V$ d' B- v* G5 C5 p
信息来源：3.A.S.T网络安全技术团队5 J2 _  Y3 c3 Q' t
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.  H6 s9 a; n# n0 e9 E9 R4 _% e$ f
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.
$ \  }) p: \2 T' C1 J  x
一.使用FileSystemObject组件

5 d- I( _3 e$ g; X9 R9 t1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
5 E& D: c( ]0 z' P) [. G8 WHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
$ D) Q+ u* L1 ^. G! e+ L改名为其它的名字，如：改为FileSystemObject_3800
: L. C) Q; ?6 n. @8 x自己以后调用的时候使用这个就可以正常调用此组件了.
: `& ]4 p) R$ M* h2.也要将clsid值也改一下
% y! z3 H+ `5 tHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
! d" D$ k& e$ ^4 \6 u可以将其删除，来防止此类木马的危害.
* ?% |( o- [, L3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
: Z2 a8 m/ o, c8 R$ E3 U如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
! `1 f' n# |: e" l4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:! t9 ~( B. R0 x8 ~& B: }' S
cacls C:\WINNT\system32\scrrun.dll /e /d guests+ [ S9 H$ W) I( m/ `3 y4 f/ d) P

/ N; }# W# f- m* Z1 I0 @8 s
二.使用WScript.Shell组件8 E. W3 Q$ @) x( A4 `8 c' N

  r, }. }9 N+ Q7 S$ g- w1 ]
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
& S7 q" ]. c8 j6 ~( P* T0 V
: j% x) Z6 F  o0 V% D1 @0 yHKEY_CLASSES_ROOT\WScript.Shell\6 Y. X3 o) N, a, v% e" p
及
1 b/ B2 S! H. x+ nHKEY_CLASSES_ROOT\WScript.Shell.1\
( c* y* T% D  r改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
& X! k' Q* _" j, U0 `5 Z9 {6 T自己以后调用的时候使用这个就可以正常调用此组件了
& x* K1 P  W5 p% Z& U/ }/ }# g) z* x" z3 y8 ~
2.也要将clsid值也改一下# T" ?1 s2 U/ H) }
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值5 C' J" S2 [" ]" c
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值! j. t7 m, B5 a# p% Y
也可以将其删除，来防止此类木马的危害。
! J  p0 Q) V# }! p3 z+ m- Q

9 @+ G5 W2 E( m# k2 @
三.使用Shell.Application组件

" a0 ?* O: V* J* O9 d7 T1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
% H. {: {/ A0 Z' \. F$ q! M$ P; N6 D5 hHKEY_CLASSES_ROOT\Shell.Application\% E; g7 s, @1 Q: ]' E% ^+ s
及$ |! b; c. m( m+ t
HKEY_CLASSES_ROOT\Shell.Application.1\
1 d0 y/ L" Z: n# a9 ~$ m改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
8 Z* _: ]# y4 O/ n# L- ^0 X自己以后调用的时候使用这个就可以正常调用此组件了
. h* W7 b6 K6 n1 H2.也要将clsid值也改一下' k5 }; y' ]( W# d( V/ l$ o5 S9 Z
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
- i0 Y$ X: l, c3 M2 f' DHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
; q9 Y+ i. J: W也可以将其删除，来防止此类木马的危害。
6 B3 V2 K9 [4 P. M. J8 l* g* N9 s3 X# j0 Y: V( U
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
# a @* o t9 e% U: e% |cacls C:\WINNT\system32\shell32.dll /e /d guests
8 i; H6 V( M( Z, A; }+ P

四.调用cmd.exe3 J* p! g1 V' a& K, }: v/ {; i

$ T/ ?; ?( C# l+ \# d9 G禁用Guests组用户调用cmd.exe命令:8 d/ l# l& D8 h" h
cacls C:\WINNT\system32\Cmd.exe /e /d guests2 z/ `& g0 a' q

五.其它危险组件处理:" K; U( Y! E$ n7 w7 U

3 B5 o! E3 w/ `6 T7 j3 C C
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 4 K8 r3 h. X* ?8 g+ `
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)2 e4 u8 v7 F( v* |2 J( g
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)$ X7 ^ x2 I" D' D6 B: B( G7 V

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些. N4 V+ Q7 \; h& z
- B0 Q+ D6 o+ p) S& t! Z
PS:有时间把图加上去，或者作个教程