[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

+ z7 ~2 C! o8 c& M6 L. W
9 k7 q6 \; Z+ x! v原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)  G2 m! g+ o6 }3 L
信息来源：3.A.S.T网络安全技术团队
7 v% c; h% o2 U" s$ M2 r防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
# b1 J/ y  D. J1 H# r+ j) R9 e  uFileSystemObject组件---对文件进行常规操作.
- K1 M4 p) u/ k1 D/ x* VWScript.Shell组件---可以调用系统内核运行DOS基本命令.
7 z- t& `& A0 y& B; hShell.Application组件--可以调用系统内核运行DOS基本命令.9 t$ Q* v8 k: i, {* Z" ]5 ]/ C7 E% S

& x1 D+ k/ U* @: C( h0 H( ^1 ~一.使用FileSystemObject组件2 ]" m& d/ Z% Q! o  O

* b! b4 }& Z! U
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.; G& i9 Y! i7 p, u( D
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\- o5 d+ y5 Y. u9 D9 v, [2 l( U
改名为其它的名字，如：改为FileSystemObject_3800
6 B( Q. s% ~# `9 x  I* x自己以后调用的时候使用这个就可以正常调用此组件了.( Z9 {# V5 \  l9 l7 U
2.也要将clsid值也改一下
8 g$ T" O8 q! t  j8 FHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
; }3 ?& e, _4 m  n1 w* p; j可以将其删除，来防止此类木马的危害.2 V! x/ \2 N6 f* ~
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  2 D% ^/ p. Y  [. j+ ?
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件% N9 m& R5 m7 J
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
  M( X1 u  H! e4 r0 d, e; [1 `2 o$ `cacls C:\WINNT\system32\scrrun.dll /e /d guests& I5 i5 h6 @9 I) F. S

$ c3 L7 B  E. F0 k$ \( Z+ H% U5 G: e# n) D) `2 Y
二.使用WScript.Shell组件$ \9 A2 b- h! M. r5 ~: J! v9 `

4 w: [$ h* U* q1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
. f- k# i3 u0 j2 G
$ w- n: j& ~+ uHKEY_CLASSES_ROOT\WScript.Shell\
2 }4 \+ M3 s- V3 c7 g及
8 ~, ^( B( |; O! ]  UHKEY_CLASSES_ROOT\WScript.Shell.1\! O9 ]9 \2 @9 ]( [
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc, G: l% ^+ o4 u) X: w& y0 Q$ |
自己以后调用的时候使用这个就可以正常调用此组件了8 A* z6 h& o9 d' x3 T

* l$ B4 H$ D" I6 N' y: k- p. f" ]5 e2.也要将clsid值也改一下: m# {) i! i9 n% K2 g! o- x9 U$ p
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
8 W0 V# k- Z) U7 G' sHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值5 u* O  U+ B* O0 c  B, K3 |
也可以将其删除，来防止此类木马的危害。' [1 f2 C5 ?( d* }

( W+ y' j0 u3 `+ S
三.使用Shell.Application组件
  E; A+ G. U& n6 ?, R3 f) a: G

& Z8 v, t& `5 L- ]1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。6 I$ n3 B# F( o
HKEY_CLASSES_ROOT\Shell.Application\7 a0 E* m0 B- k5 k
及. r) W1 @' \3 ^: C/ ]' B' q6 v
HKEY_CLASSES_ROOT\Shell.Application.1\  p9 j2 }: {8 z! Y; l% F( K/ N
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
7 A3 {" S. N0 J5 @自己以后调用的时候使用这个就可以正常调用此组件了
) p8 i2 y6 a; Y0 N6 N2.也要将clsid值也改一下
0 u5 r, H% m& SHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
  O1 B4 U" m2 B1 l$ B1 y, g& `8 S% v  PHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
' A5 a6 V4 |, e- O也可以将其删除，来防止此类木马的危害。; a5 M& C; D3 b. v! T% l" A7 N
3 m# }% P- {3 B! ~0 j, c6 ~
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
2 Y5 B! o5 g& L- r  @, @cacls C:\WINNT\system32\shell32.dll /e /d guests
8 }7 n+ D) {# K% N4 i, o$ @

2 P: T8 a: x5 ?( f" R# D+ b9 y
四.调用cmd.exe
  e" h) @5 \2 q4 i0 w/ T  T& {

; _* d) \# S% ?$ E; d% Q& N8 j
禁用Guests组用户调用cmd.exe命令:
! |8 {2 a, I$ h: Jcacls C:\WINNT\system32\Cmd.exe /e /d guests  h. k0 @, S* R; h; n

! c  g6 {& x9 z
4 v+ U3 |( t/ m五.其它危险组件处理:  o% z! A+ P  `5 |( s! \4 O

! S2 T0 r% Q4 ~( c
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})   k/ C6 r5 b! a. m
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
( A% J6 x& a/ B5 }6 rWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)/ ^% R2 t  I/ U# H) ]

( b2 p5 L; ]2 T

6 ^' o5 y: K* Y按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
* i' O- Q/ w* R1 g  n
, v, I5 d) P) G7 G" Z& d) KPS:有时间把图加上去，或者作个教程

在意z

谢谢楼主分享技术。。

小雄

发点图比较容易吸收。。:lol    不过这样也行。

paomo86

学习了……:D

猪猪

哦 学习了  知己知彼方能。。。。:)

saitojie

有控发点图上来对比下

柔肠寸断

我本机测试了下! X( d% D% ^7 {) I

3 Q' b- E% M  T8 y如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！