[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

, v) J$ d6 r+ ^% S2 ^; x! m
! B! D2 k  s( ~% ^: }4 L
原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
& }+ h$ Q- j( r: o, C1 X# [2 X信息来源：3.A.S.T网络安全技术团队
7 k! v+ n6 A. k8 g% _防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
5 g: l) G3 P' }( }& ]& _FileSystemObject组件---对文件进行常规操作.
4 n: ~$ v# E7 ~/ l0 ?8 _" yWScript.Shell组件---可以调用系统内核运行DOS基本命令.
; i2 Q2 r4 D# ?Shell.Application组件--可以调用系统内核运行DOS基本命令.
7 |9 h, M8 I- a# M" Q5 T4 }( C" {2 t* O- p
一.使用FileSystemObject组件
2 R6 B+ d$ ^/ N: r$ ?

7 d3 I; T& D7 X2 v+ i1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.8 T0 _! z" r8 W2 U- J4 w9 V
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\7 P/ {# W' N( a5 d0 o0 g, V3 `
改名为其它的名字，如：改为FileSystemObject_38008 {" D' {: b( f8 D2 @- u) P- ?: b
自己以后调用的时候使用这个就可以正常调用此组件了.
3 Z( G5 D2 n4 I6 I) @2.也要将clsid值也改一下4 {3 D/ z! u4 r' n! P# q0 a" R
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值7 ~# H  e  ?/ V2 f/ e+ k
可以将其删除，来防止此类木马的危害." `; R0 t& u3 n8 H
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
3 q6 e" j  W1 Z如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件; [5 k: q9 X' M' h
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:$ c2 Q: e  o# A' y
cacls C:\WINNT\system32\scrrun.dll /e /d guests/ K  ?% Z+ z; F5 h" N4 B7 V

; r1 x, k: P( M; J0 F( U  @

' ]; o2 z' E9 ?4 G) t二.使用WScript.Shell组件% a; E" j. p! T1 T% a; K

5 w6 ]0 Z0 j+ P2 `1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
* q! O/ q, P8 j0 U. v5 Q: s
! P6 p! [& q, J% M6 gHKEY_CLASSES_ROOT\WScript.Shell\
: @' _" N& S9 W3 n: O( y及( G. |3 x' v; t; ~
HKEY_CLASSES_ROOT\WScript.Shell.1\
& c$ M" S- ?( v" [改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
% s+ e! g, U2 q% b0 b. w自己以后调用的时候使用这个就可以正常调用此组件了, v" r* k. Z  J& D2 g

( B8 H+ \4 n! ~8 A2 f9 r9 U3 i+ {2.也要将clsid值也改一下
# t' Z+ z' H6 P! [HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值8 Q1 V6 H; |1 E' s$ v' K8 j
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值& }2 W( t+ l. n+ @) b8 p- d& C
也可以将其删除，来防止此类木马的危害。2 ^# e6 a% i; U/ g: P  z: R

4 T- g% `: u; c  j6 y0 I+ M
三.使用Shell.Application组件
8 P; Y  A3 ]6 @3 E8 \& B6 `

. V' I! [+ r; p% e; c% K1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。  ~. H7 N0 V7 ~) w; V3 T6 C
HKEY_CLASSES_ROOT\Shell.Application\
; d6 a, `3 B1 e0 X8 K) P9 I及
# f; V: t4 _, q$ P9 q& K" M6 rHKEY_CLASSES_ROOT\Shell.Application.1\
3 y' O2 C' L' i7 x3 x$ E' k改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
1 z9 a6 T" g0 A+ N% q- M' h自己以后调用的时候使用这个就可以正常调用此组件了6 X/ C2 B) ?9 v6 ~
2.也要将clsid值也改一下
5 R2 M& Q/ N2 r4 E7 Q3 aHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
( Y( \6 k# r* _# f: ?4 c5 ?HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
  I  D; F; }  t/ q% m) a3 U/ D8 o也可以将其删除，来防止此类木马的危害。
: a2 }; u/ E0 x& E" Y: P5 G7 L; R* F
) R+ m: S& [' m* k8 y  O3.禁止Guest用户使用shell32.dll来防止调用此组件命令:1 W" j  d% ?$ E( C* @0 W6 M' a
cacls C:\WINNT\system32\shell32.dll /e /d guests# _$ n  l* j* ?/ A4 r- l# E# p6 Z

2 H& M1 K7 N8 o' t0 [& |9 f1 t  x1 K
四.调用cmd.exe
; e; X5 g' f; P) u' j1 D5 D9 x

6 F1 t* [6 L' V/ t禁用Guests组用户调用cmd.exe命令:7 N3 O. z" I7 K; a9 Q; @# t
cacls C:\WINNT\system32\Cmd.exe /e /d guests+ b( I4 v" v+ J  ~0 P

2 }2 p7 n5 \5 z9 F/ q* v$ Y6 d

  d1 O  y/ @$ s% B$ ?- l五.其它危险组件处理:
; p& m7 n/ Y  F

3 ?( \9 F" y$ `4 i
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) * j7 ~3 V: ]" V% X9 ~( o# V3 u% ?
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)4 h# Z# k8 L4 v
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
! Q, }% V/ G7 k/ z0 d  [( m

' l. H5 k4 s" z0 l* j9 b# J+ c: J9 X! f7 m
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
8 k& e- f' m3 x# B3 }. I. ?
- S7 g7 ]* e/ |1 ?1 LPS:有时间把图加上去，或者作个教程

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断

我本机测试了下/ S: ~/ ~* Z( ?- B
5 ^0 F' {: n# B) F- ~
如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

有控发点图上来对比下

猪猪

哦 学习了  知己知彼方能。。。。:)

paomo86

学习了……:D

小雄

发点图比较容易吸收。。:lol    不过这样也行。

在意z

谢谢楼主分享技术。。