[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

& O: ~5 Y! t6 e% _; g- T8 [
1 q2 [& S4 K7 g$ ^9 s1 j
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)/ x/ P( a: R4 P# G5 b
信息来源：3.A.S.T网络安全技术团队( ^! d' {* l# t
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件0 u1 ^) U l$ }! I! P

  V' g3 z* M: {* }
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.9 i: D/ L0 Q8 s; j, _. L/ D( K$ n
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\% Z, E) y) Q; M
改名为其它的名字，如：改为FileSystemObject_3800& Y7 m3 R* B* ?9 W7 F& u! T& B
自己以后调用的时候使用这个就可以正常调用此组件了.1 B, p6 Z5 O- r" x
2.也要将clsid值也改一下: n( k% w1 P# m; \
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值5 n5 d) y  d" Z$ a
可以将其删除，来防止此类木马的危害.6 ]1 c4 y$ ?5 s+ E" p
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
) \! [) ~+ T* z7 D6 Z9 D如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
' D9 u9 E( z# p9 {4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
) s3 b( G4 @$ d; Ycacls C:\WINNT\system32\scrrun.dll /e /d guests6 `3 t" Q+ f! D! s8 d

. o0 K- j7 F; N( I

二.使用WScript.Shell组件

0 b% N- a) t( G; f, [
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.& w4 x- K0 ?9 V5 |- t9 N: N6 r: ~% @% l

1 X$ Z7 P; ?) O1 ^% _  y5 B7 C% VHKEY_CLASSES_ROOT\WScript.Shell\+ M5 V( T1 _/ {7 E4 T
及
9 ?; T( x& k' R% t3 u$ i* rHKEY_CLASSES_ROOT\WScript.Shell.1\5 ?2 b  S; p9 m* ~/ Y* n7 E0 e" k
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc3 c5 Q) G- D4 F& Y% {" z  u
自己以后调用的时候使用这个就可以正常调用此组件了
& t  g$ \9 f3 o/ x$ D
6 P! z" t. N/ r8 R3 @2.也要将clsid值也改一下; a& V7 r5 W$ A3 o+ }4 }
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
! S% R  k* h# `HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
) @; G; t  O+ m* J也可以将其删除，来防止此类木马的危害。# C" J$ r! `) F" I' ^

三.使用Shell.Application组件

0 T4 {( }( Y; J- [0 `5 N1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
$ |. J5 r  r/ \% c; m6 h& h% JHKEY_CLASSES_ROOT\Shell.Application\5 r' A2 m% C: r& f
及; ~9 L: e0 m! v" I- C
HKEY_CLASSES_ROOT\Shell.Application.1\: P* K* h. \7 n+ q/ X! m: R2 C
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName5 f! ~! Q% Z6 O7 r7 ~* K
自己以后调用的时候使用这个就可以正常调用此组件了( m# f2 b  ?/ I+ R) i6 m& C
2.也要将clsid值也改一下
) t" H9 z8 i6 o( FHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
5 p2 c6 m) C) A5 V& s! EHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值4 I* }5 _* ?+ ^& D- U4 I
也可以将其删除，来防止此类木马的危害。! }- S: t6 Q/ u; b5 E
3 V! v6 B; d/ Y
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:+ d  A, W5 U, V0 a- `
cacls C:\WINNT\system32\shell32.dll /e /d guests% m5 X! w  y+ g, |

9 `3 }! C% A- W5 f1 a9 v; k
四.调用cmd.exe. H: |/ ?+ q. e

5 \ n3 l8 B' }+ ^: r7 N
禁用Guests组用户调用cmd.exe命令:$ K/ `* m% w+ S) F
cacls C:\WINNT\system32\Cmd.exe /e /d guests
( c- s" n7 u( e$ V% _: C3 h

, J. \8 T8 `1 v! [1 b+ \4 R
7 p/ u J7 j: g7 D% |
五.其它危险组件处理:

. @/ U; g+ i/ e9 MAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 7 W4 R0 e3 W. l' c4 N: z
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)4 z( }9 Y3 }( x# V, g
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
8 @# j- \9 @6 K, q/ S, k/ |& E; A

7 e9 S+ m; \9 D: h) ?% @* u

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.5 j0 g3 J$ e5 w4 G& g; V' w

PS:有时间把图加上去，或者作个教程