[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

* N( D2 Y: U- N0 b& ~* B5 W' g, @

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)* o4 R( d$ Z8 Y- Z% q) B2 M! q
信息来源：3.A.S.T网络安全技术团队: E5 i& ]6 q8 m% F# Z+ L: z8 L( Q
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.) z' R' m* N! z
Shell.Application组件--可以调用系统内核运行DOS基本命令., D- C- f0 a9 k- l

一.使用FileSystemObject组件

0 h5 B1 c$ v$ |' q, Z$ G1 Q
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
' m$ H$ n. ~+ H8 A3 ]0 T2 e- Y2 xHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
$ {) v; d/ x6 Q7 X改名为其它的名字，如：改为FileSystemObject_3800' C) b0 ~- A/ @4 I
自己以后调用的时候使用这个就可以正常调用此组件了.
; C; h! @! [: D, O8 i7 G8 T2.也要将clsid值也改一下
1 S9 F# d& y2 G8 y  `HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值. W% Q' _# z8 Z; d& l
可以将其删除，来防止此类木马的危害.
# P* ^' k3 p5 ^: ?  r3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  $ W# K$ |( |' f& |9 C
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
0 Q5 _( L# h- a  h4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:: P# K" w/ h% Y  \1 M' K# M$ U' ?0 G
cacls C:\WINNT\system32\scrrun.dll /e /d guests7 T, M7 s6 b+ D8 u) i; g! J$ e

4 ?0 Y: }* z- l. S& W3 F& j+ o
二.使用WScript.Shell组件) f0 k2 d: M! D; ]4 T) S1 j

: n- i+ E6 i+ L* m9 ?8 u/ _* @1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
- `$ t& ?  ~" P! O
+ v9 {0 N8 W4 H; Y& ~1 HHKEY_CLASSES_ROOT\WScript.Shell\9 Y! G' g6 |3 I- v3 \
及, V$ a; [! O! F
HKEY_CLASSES_ROOT\WScript.Shell.1\; V5 }0 B- g- E3 j6 h( @/ c+ {  w
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
: ~6 Z0 N) ^) u自己以后调用的时候使用这个就可以正常调用此组件了
8 l8 q& o5 t) e3 Z- f4 r
8 C! n, M' }4 B3 j2.也要将clsid值也改一下
  T9 D& R( t* t0 x6 K+ {HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
6 ?& X* C+ @# [0 ]HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值, K8 C% e! K* S' Z& k
也可以将其删除，来防止此类木马的危害。+ s7 ]* z4 s1 M  N0 H9 C

三.使用Shell.Application组件: O4 l" Z, `% ?( n; H: [) B1 @

9 E( i5 W3 G/ V, G5 B
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。9 [: t* `. c5 S
HKEY_CLASSES_ROOT\Shell.Application\8 C' [  I1 _6 Y4 H3 ~% ^* x- X
及# e5 z4 ^! {; G- H/ r
HKEY_CLASSES_ROOT\Shell.Application.1\. m# [7 }( e5 D; D, ~
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
# k3 A9 e9 m: B/ O- t$ O9 R+ }自己以后调用的时候使用这个就可以正常调用此组件了
2 R2 J5 l3 }7 }1 l, t3 @: Z* q+ {2.也要将clsid值也改一下
) k1 t" n0 K- E0 l$ f  `HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值" ~* X  J5 k/ U
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
% J7 e8 T: N0 S$ v; z也可以将其删除，来防止此类木马的危害。
( V  _0 u; c- F9 P# n* A1 m* s! Q! L) N1 D8 m6 V2 i* R
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
1 L' q/ ]& l' C( d3 Hcacls C:\WINNT\system32\shell32.dll /e /d guests
4 ^, V4 t+ Y. C' @, r* F( `

- n, ^2 M! K3 C" t: E* B" O" J3 H# y
四.调用cmd.exe

& `) R p: P1 F j- M* M1 {禁用Guests组用户调用cmd.exe命令:
. `5 N: ?- H5 @7 _8 d/ S) W+ ?8 Ucacls C:\WINNT\system32\Cmd.exe /e /d guests9 {/ y" G* [6 b% v) Q

: F& M R& \/ }: ^6 k# _, z; y7 y
8 V4 `# E5 \* E# q/ A& O
五.其它危险组件处理:

, c8 M4 t( _* p* T9 [Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
; g5 b0 c4 R8 v0 K; _2 fWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
! I+ Y* K4 s0 e3 [& Q" OWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
+ Y! Z; s$ M8 Q u

& l/ I! P! ~# I3 I6 \8 s
7 K. L& e3 G! c, _% M
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.$ q4 o. u) \+ _
. b- R) Q0 Y3 X( V% @
PS:有时间把图加上去，或者作个教程