[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

7 M+ t- S' u' S3 K9 }4 }/ f
! }6 l, F6 y3 r: X4 H
原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)5 Q) J6 t1 E- F; x2 V8 ?
信息来源：3.A.S.T网络安全技术团队
2 |, }) Z) ?0 v% E0 M防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
' H( z+ L9 n& ]1 W9 O7 ?, QFileSystemObject组件---对文件进行常规操作.
- o; a& E& h( Z7 QWScript.Shell组件---可以调用系统内核运行DOS基本命令.. `! d- z' c" m0 X1 ?
Shell.Application组件--可以调用系统内核运行DOS基本命令.$ ^9 c3 Q; _5 R0 v  j4 }  z1 K9 L3 M

, O$ s1 C& b5 @& J1 w. W8 p4 J4 j一.使用FileSystemObject组件) C  w2 T# {- }: t' U

9 {" E5 g2 \; Q
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.0 R; t& W/ p  o4 w- U: F# ~. x) R
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\0 Q8 N9 h" @* l  X, z
改名为其它的名字，如：改为FileSystemObject_3800
8 d7 @" m! d3 B9 r1 v1 B自己以后调用的时候使用这个就可以正常调用此组件了.# V* p( h4 H" i  E7 i/ k1 b5 B3 P& @
2.也要将clsid值也改一下
2 J0 H' C5 \8 M# C6 a' M% E1 q! VHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值! Q: z/ B5 F  o: ]. ~1 v* v
可以将其删除，来防止此类木马的危害.: Y0 I  ~/ ?7 C# j# c& W
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  % P: i0 e' Y/ j' S) |
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
0 A6 ~3 `/ {8 ?: _4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:4 L  X/ N/ K  f
cacls C:\WINNT\system32\scrrun.dll /e /d guests
+ E- j/ o5 I3 L5 i

7 K+ o1 F* P  z! C8 p1 O8 d0 {/ y0 S

  P3 p+ N* Q) r, q, ~二.使用WScript.Shell组件
- b% r! P9 @. Y3 u2 }) q' i/ h" v2 }

9 ]' U. o% w" O& L0 S* q
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.$ T* v* G, ?1 I
" {$ |+ d6 @( M
HKEY_CLASSES_ROOT\WScript.Shell\
7 \- i! V% f- R3 B6 V) P及( w- e3 J9 ?* R& V8 j
HKEY_CLASSES_ROOT\WScript.Shell.1\8 x* J- L3 x# G# ]" ?
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
0 I$ G4 |  J) h7 j. l自己以后调用的时候使用这个就可以正常调用此组件了2 z5 F7 ^/ ]: Z' @  G& T
8 m5 c6 U1 N* C& n" r" s
2.也要将clsid值也改一下
/ n8 O- j  K: {: V0 Q7 ?HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
- E) ~2 |0 o* {) }, L" }5 mHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值# O0 x$ U. p* x- W8 E! z
也可以将其删除，来防止此类木马的危害。
; G& `8 u- W( L* W0 l2 T( G

1 R- z2 o. O5 t/ Y% j5 C3 b. b三.使用Shell.Application组件7 t" C% W  n+ Q1 D) D# L9 h' m

' t7 U: a! v% }- [) {1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。) L7 o* _% ~- w; e7 W3 P2 O) ^$ D
HKEY_CLASSES_ROOT\Shell.Application\; [2 y. _  f3 t1 W( c. E8 X
及
$ f  ?9 d. g( a% J5 A, ZHKEY_CLASSES_ROOT\Shell.Application.1\' p! S6 i. a' ?, k
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
  q/ w# }' C( d) Z. `( y自己以后调用的时候使用这个就可以正常调用此组件了
& W/ T8 K4 b0 x% u. A2.也要将clsid值也改一下
/ \$ e% t9 i( q9 z/ vHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值, z+ x/ F9 D+ k
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值$ }: V0 J3 Y4 l  D: Z+ c
也可以将其删除，来防止此类木马的危害。
9 c1 X; I' d( q- x8 C
$ G- h2 Q' l2 A$ J; g* B3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
" c1 [/ o7 l5 ^  P% jcacls C:\WINNT\system32\shell32.dll /e /d guests
+ G  }5 A( n: u( n

: R& l# g9 l3 e4 l( X
四.调用cmd.exe
9 e% ]. L, [; C9 z

1 {6 \3 v6 y7 A' x禁用Guests组用户调用cmd.exe命令:9 A2 c, H- v* q, a( N, {0 V
cacls C:\WINNT\system32\Cmd.exe /e /d guests
, B' |, X; G, u  J7 z! `

( I, l- _7 |, _/ c0 c& R
+ ?( L9 i: m) Z  y7 H" x) i, N
五.其它危险组件处理:+ U( n7 J" k+ l: d5 G' _5 n3 |

+ C* h3 Y0 g! ~3 W
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
5 W+ g1 o: e+ x8 eWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)6 ~/ x1 _; H8 l8 w' r9 a
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)4 c9 c# H" E3 o' q

7 Q8 r" _+ ~3 D' i/ ~% L# a
1 g* K% {8 Q5 W  A( U按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些." r8 G/ @, Q* g8 b

. `" t7 K% u6 v. }) L" _7 M7 GPS:有时间把图加上去，或者作个教程

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断

我本机测试了下6 W+ G  a) @( R: V3 c: h
# y) W& o8 Z9 J6 a. ?
如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

有控发点图上来对比下

猪猪

哦 学习了  知己知彼方能。。。。:)

paomo86

学习了……:D

小雄

发点图比较容易吸收。。:lol    不过这样也行。

在意z

谢谢楼主分享技术。。