[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

' t9 Q9 D  G: N! S" Q
' p+ q& L) T, I6 Q3 |5 l
原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
$ V( [) k, U& E9 Q8 F& [信息来源：3.A.S.T网络安全技术团队
1 l( Q% S; z: h. a  w3 ^防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
& }# `) r$ ^- Q. \) }FileSystemObject组件---对文件进行常规操作.
+ F- t3 ~5 \" E! L9 q9 L' Y0 jWScript.Shell组件---可以调用系统内核运行DOS基本命令.
$ I6 A6 `4 t/ _2 m" y  w+ {Shell.Application组件--可以调用系统内核运行DOS基本命令.4 C' \! H( J9 t  U& k* D

5 _$ O8 h" [/ g一.使用FileSystemObject组件
; R$ A* K3 B- x7 S: r

% V+ [2 I, v1 h" B# w: m5 b
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
$ ]( [4 I. o/ |8 z6 Q5 NHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
- T& h2 ]( t% L改名为其它的名字，如：改为FileSystemObject_38008 U" |9 q0 n& P) R6 k
自己以后调用的时候使用这个就可以正常调用此组件了.6 R! s9 \. C( k* H8 Q; i7 J& X
2.也要将clsid值也改一下! O6 j$ w8 x) f' L2 h9 W8 T, t
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
8 }# h" I8 u2 Y2 m% P可以将其删除，来防止此类木马的危害.3 n8 [1 p/ P; ?# m9 i
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  4 F1 ?8 k( o0 o8 M% Q
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件7 n. Y, ]# n2 N8 a! q
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:6 L; j& E" J' M4 c, t7 k6 ]
cacls C:\WINNT\system32\scrrun.dll /e /d guests6 R9 {! r( ]  j. m" A, }. n

2 W+ Z- ?7 J9 m* i
; m  R& C- W) R) J1 x6 m
二.使用WScript.Shell组件
& Q. Y. q$ \7 _! N- ]% F' w( ~

  _1 f+ p% |3 I5 f1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.' g" w; `- C. n2 I, s

: [& h" f! a# E: j8 N; QHKEY_CLASSES_ROOT\WScript.Shell\0 x3 F4 p" p& F% {. Q( S
及) c4 i$ K$ r/ Y& g9 A5 z
HKEY_CLASSES_ROOT\WScript.Shell.1\
6 A' a5 t9 ]+ X, l0 o0 e改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc6 S, d2 Y3 l! o0 A1 {
自己以后调用的时候使用这个就可以正常调用此组件了
1 H* b% b, l* z( I, x5 j; s, r% K$ `; I, R$ F; A2 }8 Y1 O
2.也要将clsid值也改一下
, J' p: ]. H7 S; U! h7 K% xHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值# z3 ?0 n6 o6 u
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
$ U0 F7 N7 e: R  L也可以将其删除，来防止此类木马的危害。
6 I6 B' R0 n+ F/ Y" E7 d: l1 e7 h

4 D! D) Y5 p5 W# R3 S' x三.使用Shell.Application组件- s1 D# k4 A- Y

  p$ ?+ k6 j# q( g, g; D: Q1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
, d3 w8 }/ [# H0 |HKEY_CLASSES_ROOT\Shell.Application\
: K! K; S2 d' f" w# l4 Z及
7 m! K% E# [3 lHKEY_CLASSES_ROOT\Shell.Application.1\6 X# }. g# ]1 F7 P3 N2 m+ i* H
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
2 |0 P5 `- E4 E% F自己以后调用的时候使用这个就可以正常调用此组件了/ {1 H* @% s9 x# S
2.也要将clsid值也改一下' B% P. ^/ a: \# Y8 m, b
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
; B% |! \2 ~& y9 BHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值( F9 t4 h3 T: @# w# r. D. h4 \
也可以将其删除，来防止此类木马的危害。) V( f& n0 m% a9 ?
( S1 ?: R6 O! X
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
$ Y4 K# {! W! I7 ucacls C:\WINNT\system32\shell32.dll /e /d guests
- P$ X# i: M1 |: s$ n8 t3 ^. |

# M4 L) [- Z3 [/ W& n! d, c四.调用cmd.exe
: N# v/ g6 ]7 N' j# H8 [

% V$ ^  ]& ]# K: X5 t2 U
禁用Guests组用户调用cmd.exe命令:" Y) c: H7 n4 J
cacls C:\WINNT\system32\Cmd.exe /e /d guests
, j: r/ t( j; ]3 i1 D

* s' W  ?* c1 {' V) D# {
8 `- A% e1 ~- t/ e$ Y/ o5 O& Y五.其它危险组件处理:
) ^; W) ?; W' l, \3 Q

  C" v9 U' d- X. M9 nAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
  g: T( g0 L9 \& g  h! FWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)1 P# O3 G1 @/ R3 B: z! _3 j
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
  O8 s8 z4 V( h1 o

) D2 _8 ~" U, F/ K+ E  b( T

( ], w" f" K2 V% M: J4 b: ^: @按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
! e: k$ i9 Y, G; S6 d, D- @5 g  X/ a8 |
PS:有时间把图加上去，或者作个教程

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断

我本机测试了下# b& U# A: q* J6 \$ p

! V1 u/ P3 A/ H6 v4 U% F如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

有控发点图上来对比下

猪猪

哦 学习了  知己知彼方能。。。。:)

paomo86

学习了……:D

小雄

发点图比较容易吸收。。:lol    不过这样也行。

在意z

谢谢楼主分享技术。。