[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

. Y( a3 |: W  P" a9 X5 h

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)+ c( u3 T8 J& C4 e7 x% N5 I, Q% @
信息来源：3.A.S.T网络安全技术团队3 H  J6 ~9 l6 V5 e/ ^/ X
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.# k1 b. z& t# }# o9 ?# d6 w0 R
Shell.Application组件--可以调用系统内核运行DOS基本命令.
& ]  r5 B' k. v: ^( p
一.使用FileSystemObject组件/ j8 `8 m% d' T$ L; e; x: f

" f% M$ A2 q0 D/ U4 N$ U# t
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.0 y$ m. J9 N4 `5 a
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名为其它的名字，如：改为FileSystemObject_3800
7 v) Q2 d/ X# x$ L( K! c) K2 f自己以后调用的时候使用这个就可以正常调用此组件了.1 k9 W/ g' o2 g* H2 y- ~
2.也要将clsid值也改一下4 v9 ]9 g- ]5 w* z; |
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值6 z5 _; e3 Z3 V' m
可以将其删除，来防止此类木马的危害.
4 a6 g# |& {/ B- g, ?. U$ C) A3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll \9 ]% L1 p$ K5 p- L
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件8 N, H+ y( e2 ]
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:" f4 V6 R; c+ h: }# }) F* C6 I& c* G
cacls C:\WINNT\system32\scrrun.dll /e /d guests
. ^: K' n3 u' ?+ h6 B

. K; T" o; j8 k3 S- K8 Z
二.使用WScript.Shell组件7 W" D, b/ u2 N" \

4 {% R& m! s3 [  l! O1 t" z1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.9 q$ D% B6 z3 B8 L. J

2 f4 B: W6 f  M: i) N9 THKEY_CLASSES_ROOT\WScript.Shell\
) x- [' U; j- A及
+ e9 P' S5 U) y; IHKEY_CLASSES_ROOT\WScript.Shell.1\
% N" A9 z5 R  K改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
# i2 c. i2 I' \+ B; ^- [自己以后调用的时候使用这个就可以正常调用此组件了
$ H5 A! V$ r& L9 w9 o
7 T: o  b6 n; m$ Q0 t/ \2 n. m& x, Y2.也要将clsid值也改一下
5 @6 u( m* E" M3 J# @HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
4 L6 b- H' }; B5 rHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
  w. V7 |$ \- I也可以将其删除，来防止此类木马的危害。
2 v/ M8 @4 k7 _. r; X3 c# C

三.使用Shell.Application组件3 {; U1 H" K9 G0 N, S2 h

& Y0 D: t3 q$ S# ~* I" f  M& ?
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。& l0 ]  q7 `6 J; p7 ^
HKEY_CLASSES_ROOT\Shell.Application\
) E2 ~; ?/ ?- j及0 U1 o! _, j2 O- i+ D  c
HKEY_CLASSES_ROOT\Shell.Application.1\+ a) ^8 h) v1 e5 O5 u+ i+ [. y
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
5 Y# s3 B+ m5 ^- _5 f4 X7 s自己以后调用的时候使用这个就可以正常调用此组件了- h( {/ r' y% ~
2.也要将clsid值也改一下
! M/ O0 S  O( \HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
8 P, K' w+ f0 A+ z4 H* B* I- e8 vHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
  U. r! g' u6 J. T6 o$ O3 S也可以将其删除，来防止此类木马的危害。
% V- ^5 [" F+ p# e
) [% t0 W, V4 \3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
- s- }4 h$ t/ E/ l5 \- Rcacls C:\WINNT\system32\shell32.dll /e /d guests
0 c, ^& d' _0 x# I) e

四.调用cmd.exe0 | Q F. u) G5 F8 z. b

1 S( q2 l7 s) J' n4 h& ?禁用Guests组用户调用cmd.exe命令:
. u8 {! E& [ l+ N" X7 P9 ~cacls C:\WINNT\system32\Cmd.exe /e /d guests1 B, Q0 E/ n- p0 g) J# s7 J

L! X6 r* p; H7 S6 z' _% F1 a

五.其它危险组件处理:

+ L; k- ]! s5 o7 t/ K
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 9 r& ~; O; d. e. [" A
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
6 u- q w( t! U: ^, K( z4 _WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
0 K: q/ X2 m7 ^/ k( a0 J( ^9 P) N/ t* K

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.+ c N4 ~4 T5 \% E# Z+ N+ D

PS:有时间把图加上去，或者作个教程