[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

S+ Z: m7 i6 F) A- j8 K
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.' y7 G7 J) B: j( j% c0 \
WScript.Shell组件---可以调用系统内核运行DOS基本命令.- A( Z3 g) ?" g/ b. P( {
Shell.Application组件--可以调用系统内核运行DOS基本命令.
/ R6 ?6 l4 l& K) E0 ^
一.使用FileSystemObject组件" @" n4 Y$ f8 ~% S: R

/ n( ~6 v- @- R' h' J: ?
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.9 a; N# V4 p; S
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
* ~2 S+ d; l5 J2 N- K7 J* w改名为其它的名字，如：改为FileSystemObject_3800
* u2 r+ |6 d8 ]. M自己以后调用的时候使用这个就可以正常调用此组件了.
/ v0 N. c- B8 t# ~2.也要将clsid值也改一下
; C8 |9 m/ b% F' _/ V  h8 U" E" [HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值  l0 m. p9 Q% R* l; @4 S6 K( t
可以将其删除，来防止此类木马的危害.
+ |9 Y* {" k( Y4 N% a0 O3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  2 j4 U& ]' v2 w. D' w
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件/ G4 H( n2 f/ A# M
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:2 y7 X/ |1 G. A8 S% H$ _: z7 X( T6 y
cacls C:\WINNT\system32\scrrun.dll /e /d guests
. R7 l0 t# v& N* X/ @% ^  r+ E

二.使用WScript.Shell组件

# Y& N8 p0 \/ t( Z5 |2 F
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.0 i' ^/ n+ F0 c# F
* H3 n% \: F% s' L. h
HKEY_CLASSES_ROOT\WScript.Shell\3 d" D! r7 Q. z9 Y: z
及' P+ H/ m* E' u% y& r
HKEY_CLASSES_ROOT\WScript.Shell.1\" R8 {' v+ z: H3 j
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
. Q7 G& j1 b( H d6 @自己以后调用的时候使用这个就可以正常调用此组件了
. O! ]* [5 X6 ^9 q5 M' Y- x& z
6 J7 ~6 d" e9 E5 e( a4 s3 o2.也要将clsid值也改一下
: D" j9 Y* x0 Q1 gHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
5 I8 ]+ S& w! U7 H* THKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值* A* R7 Z; q0 x& o$ @" S; h2 S
也可以将其删除，来防止此类木马的危害。 x% ]7 }" h" ^9 i ~9 \$ w8 s& V) O

三.使用Shell.Application组件1 \2 c( T$ v. n( _

" O6 }  g2 a; a1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
  o% _! Y" y8 e% jHKEY_CLASSES_ROOT\Shell.Application\
8 d: Z9 s2 @, h6 n9 [及
! [8 P: l0 z  F: }HKEY_CLASSES_ROOT\Shell.Application.1\
) l8 }6 u8 D! m8 y9 f# z改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName: I2 n: N8 q: `4 y1 f: u& z2 V- b5 x
自己以后调用的时候使用这个就可以正常调用此组件了, ~$ D7 w) I9 l8 S: |: g, _2 ~
2.也要将clsid值也改一下
6 P$ {; X- H0 e: I; f5 ]HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值1 \' L" A' j+ H: T% j# U
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值+ t6 q# k4 m& Q+ g. l3 U7 p3 b4 T
也可以将其删除，来防止此类木马的危害。
& W0 m, Y1 E$ S
$ B5 x1 u( a& J0 z3 h3.禁止Guest用户使用shell32.dll来防止调用此组件命令:( S+ N$ f2 O6 f7 J2 K
cacls C:\WINNT\system32\shell32.dll /e /d guests
! e. K7 C3 _7 p" \4 p4 s

0 v/ r3 q Q. N) j
四.调用cmd.exe

B. L0 N3 k' r p* ^- R; m" y禁用Guests组用户调用cmd.exe命令:3 s3 |/ ^4 L+ @, a) v+ P/ O* Q
cacls C:\WINNT\system32\Cmd.exe /e /d guests
/ Q, j9 ^$ O" g% P: E u- | T

, W1 {9 R- G8 ? R9 Y' z$ V

五.其它危险组件处理:

! g6 h2 J8 F! N/ z8 ~3 w l9 NAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) $ ]) Y- u! k. J( l( j% O
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74); V1 f3 L8 F( |! b
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
: }# L5 t- v- A

; I- o: l7 U" S& _( [0 J
/ V9 Y& E0 X2 j% ]& ]; o/ n6 n
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程