[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

. [7 Q0 G4 s! f, O% n
; g1 F9 [% x* O
原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
1 n3 _. w2 L6 [  N' [( B; y信息来源：3.A.S.T网络安全技术团队
7 H: A( z( q# ?- W: p! ?) r防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.( V( G1 F6 b' G0 ?
FileSystemObject组件---对文件进行常规操作.
6 F2 U8 D, ^# d0 H# {) lWScript.Shell组件---可以调用系统内核运行DOS基本命令." {) o' k" a& d0 u
Shell.Application组件--可以调用系统内核运行DOS基本命令.
" Z+ e) ]. i  l3 ?9 _: r$ G5 s5 I2 A% a3 l
一.使用FileSystemObject组件
# K5 M) ~: J: U, `8 O* N* z

. G. |4 F( ?% j/ r: B- g1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
! W5 D& J5 b( m8 @HKEY_CLASSES_ROOT\Scripting.FileSystemObject\7 [& \3 R( R2 H' n! N0 B
改名为其它的名字，如：改为FileSystemObject_3800
6 z: E2 ?, l: L0 {2 V自己以后调用的时候使用这个就可以正常调用此组件了.1 E7 ~% G8 w: [' L- w) J2 G8 j6 M9 C  O; s
2.也要将clsid值也改一下9 w4 l7 w; r% z" G8 s' U. Y5 t& U) J
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
/ N9 V$ V6 S1 z可以将其删除，来防止此类木马的危害.
0 @* O+ K. F  F( h3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  4 k6 t* V  m: G" t3 L5 u7 p
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件& M; o* n) W/ R7 {) \+ u8 y8 I
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:9 R9 a  b, p9 Z
cacls C:\WINNT\system32\scrrun.dll /e /d guests7 R- e' e! P& J% }& @

! s: Q3 x4 z5 T* h( e& n+ Q

' p- j3 O; Q% x9 T二.使用WScript.Shell组件8 R% \' b' l/ |0 k

8 W% n- _9 o8 j3 {% i/ M- j/ S2 ?1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
3 H5 ]% y) l3 n( L3 ]
5 N9 j& x9 o* n7 QHKEY_CLASSES_ROOT\WScript.Shell\( D+ L. A" f6 K* v; r5 F
及# G! c" X4 L+ _7 u
HKEY_CLASSES_ROOT\WScript.Shell.1\
# P7 v- b* X5 I5 J! U改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc& Q+ K: D. v+ U2 F
自己以后调用的时候使用这个就可以正常调用此组件了
5 d* q* y% l# ~8 o4 a" \* M; N# b' l3 M) F' |  i3 g7 w; {
2.也要将clsid值也改一下5 i) p  N2 ]; j/ M9 d, A  O' Z
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值1 N! K6 _5 {8 t- E! l# i9 }
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值9 c1 r7 L5 p% `/ w4 d6 y
也可以将其删除，来防止此类木马的危害。/ y0 P/ ?4 [! t& ~" q: {

% e& u) n! `$ I+ |9 K4 e0 l三.使用Shell.Application组件# a* Z9 G) \- S# W

0 {7 ~0 Q  T- Z4 o* X
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。" w4 m  \) W& W  u7 [, C* X; c
HKEY_CLASSES_ROOT\Shell.Application\* s8 V( ~. g. C  p1 [! g
及
0 q! R3 _' q* I1 ^HKEY_CLASSES_ROOT\Shell.Application.1\
) L( R) @: v4 e7 N改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
0 r0 R! N+ r9 O* D自己以后调用的时候使用这个就可以正常调用此组件了
( |% ?+ ^* K- k2.也要将clsid值也改一下2 v+ u$ I8 _. A1 u! z
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
8 x8 H, h. k1 `7 I3 M. QHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值$ d0 J! `; A5 [  Y, s: n1 u
也可以将其删除，来防止此类木马的危害。/ d* b3 E; v" s  X; ~

) O  ]6 ~/ ~' f1 J; L( l/ @3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
3 d- S7 o) T' B, i( @cacls C:\WINNT\system32\shell32.dll /e /d guests9 @, B: Q8 u. X" m! v

0 o; z; |$ B- }9 u4 H2 v
四.调用cmd.exe0 n; }3 O2 K' i' A0 F

' h3 f. _7 F3 G禁用Guests组用户调用cmd.exe命令:% P7 m2 x9 E1 b! H0 f" h
cacls C:\WINNT\system32\Cmd.exe /e /d guests6 C. `! A) [; m! p) K; _, |( v% G6 C

) i  G' n+ s# c8 w. G" z
1 n# R  g) Q( o& P
五.其它危险组件处理:
% N+ a9 {2 W3 [# i6 @+ F, G

' `( k+ x) ]$ qAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) ( l3 Z" ?- I7 `& y
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)/ u. L4 A  Z) k+ W: s6 F# s. T
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)7 L9 N& r2 q$ E" t# f5 b" R

9 L. p4 ]2 v+ [; l  }6 ~; i! h4 E' {
5 N: N6 ~! O- W& V
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些." `& I; s$ h8 a; |8 M. V
5 a, {  y# b4 O: i4 q4 \: m$ D. u" u
PS:有时间把图加上去，或者作个教程

在意z

谢谢楼主分享技术。。

小雄

发点图比较容易吸收。。:lol    不过这样也行。

paomo86

学习了……:D

猪猪

哦 学习了  知己知彼方能。。。。:)

saitojie

有控发点图上来对比下

柔肠寸断

我本机测试了下" R4 n% Z2 R$ d. R9 _3 j

& W1 q2 H+ \( h2 ?, c. m+ }如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！