[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

$ T3 k$ |6 t- F: Y
, F! Y ^- L; }8 d$ F
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.: R3 i/ q" q; E& y

一.使用FileSystemObject组件' M3 [+ F/ T2 l% X6 L

5 m% K& J& i7 R' q5 Z) h+ g& D6 V+ ~1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.7 l" N- v5 P: t  q4 T
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
: \# `% {3 [3 V4 o改名为其它的名字，如：改为FileSystemObject_3800
1 S. y' o) d( {, t3 g  Y& Q自己以后调用的时候使用这个就可以正常调用此组件了.
0 y. Y5 l/ F/ |2.也要将clsid值也改一下
5 D7 g/ T. w6 T% @; ^HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值5 F% s! {: \$ D0 S; |/ j: U4 N; L
可以将其删除，来防止此类木马的危害.
! H9 T8 l, b! y3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
, s$ m4 y! k% B# |如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件( S) L5 `0 |# F7 r
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
/ r/ q4 V( G# v% x- X: vcacls C:\WINNT\system32\scrrun.dll /e /d guests
1 U7 ?6 j) J% G: j, q7 ~1 O' A

3 t/ y* F! R" i

二.使用WScript.Shell组件% [% x' B9 m; e6 a2 ^. x: S

- z6 D2 R6 L: q/ Q3 \) k a% k2 ^
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.2 F) y. A4 |2 T$ h9 H1 f
' {+ ~4 n6 N1 u* Z
HKEY_CLASSES_ROOT\WScript.Shell\
: T- ]5 V! H+ Z: K! F3 _及
% B- \6 k. A2 f* R. e& _HKEY_CLASSES_ROOT\WScript.Shell.1\
' A4 Y, r: i% K5 B* T改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc8 \' L' S8 G, G! Q" k; L& q$ K$ D
自己以后调用的时候使用这个就可以正常调用此组件了/ o* g* L/ |5 S$ J0 h
, \+ o+ e8 q( u" p! H3 ~0 q
2.也要将clsid值也改一下
8 W& s3 ?; }4 ^1 t( O8 |0 lHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值5 D) h1 S2 B: m& J) P5 l8 P) ~
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
2 B: }0 F5 p. y8 t$ @也可以将其删除，来防止此类木马的危害。$ d- F! K: ^5 I

三.使用Shell.Application组件2 F- O8 j' V$ F# E

9 F, A, k$ `4 s* x& U' Q! f
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。+ |2 r& B  e4 T+ ~& b
HKEY_CLASSES_ROOT\Shell.Application\+ `9 h: g! X( o! F: f
及
. }7 b! j0 I; J" w' N/ D, X0 d) bHKEY_CLASSES_ROOT\Shell.Application.1\% _$ Z$ I1 E: W% O7 r9 i
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
/ Q7 x7 u6 Y' J  q  X自己以后调用的时候使用这个就可以正常调用此组件了/ V1 |4 ]- w6 g4 B8 u3 P8 W
2.也要将clsid值也改一下& k5 ]  J0 Z, E2 E% G, ?
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值( i7 N0 f% f! A  N0 c! E
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
/ K/ s2 E' {+ v! e" f5 X也可以将其删除，来防止此类木马的危害。/ P* j& T$ W. Z  t$ u
- _5 U& ?0 {* M4 |" ]6 F" s
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
$ [4 N6 C: H9 m/ Y& X+ Lcacls C:\WINNT\system32\shell32.dll /e /d guests* e3 B9 _, S* l. J1 R6 f6 R, _3 Q

: i' y, b& e. g- E- |5 _2 K
四.调用cmd.exe1 X, J0 Q8 t& U6 s

$ k4 @, @# C6 \, I# a& Z. w禁用Guests组用户调用cmd.exe命令:
' _- ~0 ?* x7 t* a: F& ?cacls C:\WINNT\system32\Cmd.exe /e /d guests
8 x: ~6 w( u2 Z2 i7 r

五.其它危险组件处理:5 m* }5 k5 t) n# ^- K7 p6 d* L

- x3 o3 l& i' g) ]
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) " s% J$ x- U* }+ U
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)8 r# m G+ |/ i$ j a9 e5 t
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
& R* M+ k& o4 y5 s! }! ~! v

8 v2 ?; Y/ @& [3 G& m
$ ^. q0 [2 ]( T' ]0 z& ^) Y2 o
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.8 \6 u% d3 |8 L+ f. q% b" `, e! p

PS:有时间把图加上去，或者作个教程