[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

9 W+ {" }$ O8 `3 G
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队+ R2 Z @/ w% o, K. [
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.% Y7 y, V" J" h+ G) G
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.1 r. k1 X" ], |4 b2 H( K3 S5 T* N
Shell.Application组件--可以调用系统内核运行DOS基本命令.+ K2 K! n! N6 | Z8 W

一.使用FileSystemObject组件( t* n( K3 u9 w. j3 h

- B  {5 w- z) d( x
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.; D+ @' A. X# g% \- [4 Q2 S" @
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\7 Y. I6 v( ^$ \' b
改名为其它的名字，如：改为FileSystemObject_3800
5 z, t3 j4 Q4 h自己以后调用的时候使用这个就可以正常调用此组件了.
  e8 `2 K* J1 Z1 I* x1 p* @9 t& v2.也要将clsid值也改一下/ G' Y& L1 N: ?' J0 B$ ~1 r# [
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值" F: ^; D; A' j
可以将其删除，来防止此类木马的危害.4 u6 d  A& Y; }% d* d
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
/ C: G' x5 S; |; p如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件4 n3 [' u/ s& U7 X
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:+ k7 L$ T" r/ S! K
cacls C:\WINNT\system32\scrrun.dll /e /d guests& ?) p+ h& g+ R8 t; k

二.使用WScript.Shell组件5 { Y+ t$ p. Q @+ q

' B  a+ z# q$ G8 v0 A" M' q1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.9 ^6 E3 J, x% q8 }- y

' Z& |5 Q3 ^# K0 V2 R! pHKEY_CLASSES_ROOT\WScript.Shell\
  I9 {& n3 Q; I% z$ f- Y2 J及
% c  b; x$ |/ N0 WHKEY_CLASSES_ROOT\WScript.Shell.1\
! W( u) P. H. b- _* |8 E改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc, Y$ F) ^! j: [. n3 p4 G
自己以后调用的时候使用这个就可以正常调用此组件了' D0 ?' \/ V0 B

0 I4 V8 V' e( g2.也要将clsid值也改一下' g! H" ]# `4 g% P) C
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值# n; i! \7 H1 i3 S: M$ c, j' Q1 ~
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
& _+ S5 L& C$ L/ m, ?也可以将其删除，来防止此类木马的危害。
5 c& I  u1 P4 y- Z

* j; E* o c+ d5 j% D% _& k
三.使用Shell.Application组件

8 \( M8 r7 r3 R4 r8 x8 U1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。, h- Z; P" A* c8 Y5 G6 H! D* D' O' X
HKEY_CLASSES_ROOT\Shell.Application\
, o% c$ }& `3 ~8 D, z5 q及
+ B- |6 p; V5 K" K2 y- k% w; yHKEY_CLASSES_ROOT\Shell.Application.1\3 R' c* _' q5 R. l7 I: K  ?
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName$ ]' _! d- a' ^6 q
自己以后调用的时候使用这个就可以正常调用此组件了
( N7 b% }9 r2 ]. Y1 w& B; E2.也要将clsid值也改一下
1 b, q3 T8 i8 i$ N: zHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
0 t- M( Q3 ]9 e$ eHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值! o8 |" ~: q+ l9 `& M
也可以将其删除，来防止此类木马的危害。
5 B6 d3 {! o. J; e: y3 v+ G7 W+ E0 Y
6 t( Z5 O3 M% q7 f% z, y) e3.禁止Guest用户使用shell32.dll来防止调用此组件命令:) S  _7 A- i0 T  ^5 \+ v+ A9 l# E
cacls C:\WINNT\system32\shell32.dll /e /d guests
7 F* \+ A  D6 `6 V2 C3 f4 \

% R5 A; c, D: B9 e l
四.调用cmd.exe

0 j+ Q5 i" J$ O; L; k
禁用Guests组用户调用cmd.exe命令:+ y% F) U: P: u1 W
cacls C:\WINNT\system32\Cmd.exe /e /d guests/ S0 d4 l& e8 \( H" @. R

. b2 U! B& b: F5 K# ]
五.其它危险组件处理:

& W: c3 u7 V2 j3 ?
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
6 ~9 L2 N% g/ T& _: nWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
; b" n8 C0 X# w. y% X" `* IWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)$ X5 }- W4 @' d$ C

$ N* q1 B+ T6 p
2 t \% D8 M, G) c# H1 {# ?+ h
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些./ ^# ~% _0 d$ H6 e

PS:有时间把图加上去，或者作个教程