[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

4 S+ O3 t0 G3 z* j v
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队) R8 D+ }7 P6 ^* i, [' \0 Q4 }) S) K: T
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.( x0 _& H0 }; P! w$ W8 A

一.使用FileSystemObject组件

! Q4 J1 q3 Z! W2 m1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
- |- ]/ t- ^, ?/ T# a2 ^! M* kHKEY_CLASSES_ROOT\Scripting.FileSystemObject\% N9 h& b- O! Z" z0 z& M
改名为其它的名字，如：改为FileSystemObject_3800
7 B7 p9 c+ |* n% Z% F2 k! @: T0 j自己以后调用的时候使用这个就可以正常调用此组件了.
5 z3 V1 s! \, H7 n) X7 \2.也要将clsid值也改一下$ {+ M# H4 J. s1 w4 g
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
& v8 s$ e- m2 M- e& n0 g3 i7 R! B) R可以将其删除，来防止此类木马的危害.- a1 E7 `3 |* r  K3 l! x
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
9 j2 g$ d% g& n2 ^; ^& L- Y如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件+ t, }4 Y) D8 o  R( f- t8 \& i6 {
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:! i) `( h) Z# D/ v7 u8 v7 Q
cacls C:\WINNT\system32\scrrun.dll /e /d guests
7 F5 T! w+ w# f9 f  [

' p# Y' T6 \# V# q* @

二.使用WScript.Shell组件% S& a5 D4 x: I- e

2 k+ e6 J; u6 Y8 O1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
7 k5 y& w/ X  i3 |/ |0 X7 n* r! `, S! u  n% v
HKEY_CLASSES_ROOT\WScript.Shell\
+ \, b/ n* j7 b6 ?& K- f及. t8 M9 n9 ]2 o* s3 @' y
HKEY_CLASSES_ROOT\WScript.Shell.1\
) @" v  x1 ], l; R改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc" C5 ^4 t4 {, t) I7 l  `: V
自己以后调用的时候使用这个就可以正常调用此组件了
* ?7 ~( Q6 B* ~3 W% N, \& Q/ W/ W
2.也要将clsid值也改一下/ O. z! S/ U7 u
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值% K; l8 p. `, E7 D, E
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值+ x! ]5 ?2 h9 x. n% D  |
也可以将其删除，来防止此类木马的危害。
! J2 e9 D+ `# A5 P- |

. B# n( ?; ^% |$ s
三.使用Shell.Application组件

/ v; L+ ]6 c8 ~  [
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
% {  \! P- R$ j  B5 \1 G* UHKEY_CLASSES_ROOT\Shell.Application\: B. w8 P% f9 I" s3 `
及
6 k- O( M" Y1 G& j; U6 VHKEY_CLASSES_ROOT\Shell.Application.1\
9 b$ G7 D0 Y! K  p! |  B改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
/ M9 y, P+ J" Q2 T; M5 w/ W4 ^; F自己以后调用的时候使用这个就可以正常调用此组件了8 `! `- q0 c2 H& s
2.也要将clsid值也改一下# }  ^) B& Z3 F( f& X/ W9 D# y
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值7 [) e; g* t# u1 ^+ _. m# ]2 U1 {- I
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值- a% B8 G- f: ]6 O" o) a
也可以将其删除，来防止此类木马的危害。# E) U! \6 ~7 z) [% ]8 c: l
( A: v. d; X& D8 u* m' o
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:" y) Y& h: O- Z+ T
cacls C:\WINNT\system32\shell32.dll /e /d guests
$ k: [5 t3 [; V; {! r

* n x- h0 U5 s0 }! o) @/ P
四.调用cmd.exe

/ @0 v& E* O$ c$ J: q
禁用Guests组用户调用cmd.exe命令:, b( u7 q: {% R4 \
cacls C:\WINNT\system32\Cmd.exe /e /d guests
- y: B6 V7 M2 W& [: u! U

五.其它危险组件处理: T& |) M/ i& p4 e

' K K2 b) R3 H. A- @4 FAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
% w4 V# B9 o7 `: oWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74) l" X7 t! Y) D6 u" e# }, w
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)6 E3 k5 y9 r" p# `2 q

' ?: {- Q* k" @8 y8 q/ ]

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.1 c2 k/ f' ^! B

PS:有时间把图加上去，或者作个教程