[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

( V/ \6 `; @1 r, b
& ^: Q7 \, W% T5 X
原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
7 j6 ~  _& V0 e  M' K; ~5 J1 ^8 ?信息来源：3.A.S.T网络安全技术团队8 n: ]( c1 Q+ k
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.. e: p1 h0 s% a& N5 F0 }
FileSystemObject组件---对文件进行常规操作.
  X5 X9 c5 H: p- ?5 p" sWScript.Shell组件---可以调用系统内核运行DOS基本命令.- ?3 }% F  Q2 h" w9 e4 x
Shell.Application组件--可以调用系统内核运行DOS基本命令.0 z6 t3 O' g& V' y8 V

, h5 p8 O$ `, m" q; h6 P一.使用FileSystemObject组件" L" Q) }! v; ~, ?

( I( L5 q1 D8 _; I5 C1.可以通过修改注册表，将此组件改名，来防止此类木马的危害./ _" A/ m: m, S2 x- N% k% w
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\4 t& Z7 o$ k/ s9 P# b! V
改名为其它的名字，如：改为FileSystemObject_3800- g, A9 n- t; h" O1 @# D& S2 {) m, {
自己以后调用的时候使用这个就可以正常调用此组件了.- ], t- f3 \- C, O: V7 M$ R$ T
2.也要将clsid值也改一下- i* i& y1 w! q6 R2 Z) n% S- I0 @
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值" F1 |1 S( v, e  _; A5 u
可以将其删除，来防止此类木马的危害.( [! p6 Z/ \& j. o
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
0 O' H4 M, s( Y3 N# [如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件7 k9 y0 J% f( s3 {
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:+ \, ?+ T* s4 Y6 f7 T
cacls C:\WINNT\system32\scrrun.dll /e /d guests
' c  T* P6 x+ {/ n  s6 Z

# x' T3 D% n. ^- {

" D5 B7 r5 z6 D+ b* d1 r+ r8 C二.使用WScript.Shell组件
0 E4 M+ Y2 q9 w0 P3 V& [( O( |

0 n% B! }" p9 X5 i3 L4 k) G& `9 L1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
0 t* z6 @" M/ k
$ x6 E8 o6 ?8 D# zHKEY_CLASSES_ROOT\WScript.Shell\
& Z% o% `  I( y( I及
0 f) e4 w" Q% l  V, w. X7 u, p, \6 XHKEY_CLASSES_ROOT\WScript.Shell.1\+ K) e! \8 |0 S  B) q* Q" y4 m- m
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
  q( s% x( n$ U) O- ^自己以后调用的时候使用这个就可以正常调用此组件了
9 f% ?" v2 A7 P; T7 B1 ~* |
' p( S' D9 S5 K  G2.也要将clsid值也改一下
& H6 M8 Y* ]0 k! t/ j- rHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
: u0 c& Y" l  l+ i8 o5 DHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值& E: u8 h3 r' J: O
也可以将其删除，来防止此类木马的危害。2 _) H) _$ [# N$ l8 m( m" z

; o, e, D5 Y  g  g$ e) Q三.使用Shell.Application组件3 _; G' y' i3 x6 L5 ?+ R

1 P2 ], q: N$ U1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
9 C- q% E$ ^/ O" d0 {( ?HKEY_CLASSES_ROOT\Shell.Application\
5 A6 q1 _3 H$ j# B' T! @# L及
. ]$ g+ Q% E+ d& c% EHKEY_CLASSES_ROOT\Shell.Application.1\; Z. S5 V: e7 D% x1 \3 |0 t9 e0 e. x
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName8 N; t; B) W4 n3 g# p" E: q
自己以后调用的时候使用这个就可以正常调用此组件了4 v3 b$ n% @1 |% a. d; _. b
2.也要将clsid值也改一下
6 b/ s2 q2 M& V' u  R! A) hHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值6 R5 V% q/ E( b
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
( d6 d' f! t8 ]# e+ L也可以将其删除，来防止此类木马的危害。8 N/ f/ M7 ]$ W8 H
/ L) m4 w5 s7 L  u6 {' A) a0 V
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:6 ?6 d9 D; T# _$ u( G+ H
cacls C:\WINNT\system32\shell32.dll /e /d guests% ~+ [: I& a. X5 t

3 C  J2 b: w3 K, u3 u四.调用cmd.exe
; o9 h/ p. C: l& r" W$ _2 c4 x

5 {% X% ~% t& N0 _0 Y  ?& ?禁用Guests组用户调用cmd.exe命令:' {) O9 l+ g: ]# `4 f$ O* y+ f
cacls C:\WINNT\system32\Cmd.exe /e /d guests
! e  z; ^+ e1 a5 l- d, V, H

: X/ Y" G+ {; f+ d. f" \6 P; t
1 E: B& s9 u8 H8 K! T" H2 v5 f! E$ Q
五.其它危险组件处理:
1 B8 t) m$ M) P8 I3 N5 \

5 {$ X& i8 f5 {) e" m6 |! k; g
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
( b4 T+ v. j3 f: d! O  s5 V. RWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)3 X* C0 I4 ^. R) k; ~2 m- p5 H
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)$ C# Z+ x7 [8 v; {  N

+ }; K& q3 R" F3 \. M3 |
& i8 O* U7 X) U$ B- F% @( Y按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.7 Z4 W8 ~& q* e- \0 s5 i, B/ X

# o: U. v/ t  F3 C4 s, RPS:有时间把图加上去，或者作个教程

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断

我本机测试了下$ j$ a6 V6 X4 A7 ]  Q/ y" r' Y

: {6 a8 K  g+ B如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

有控发点图上来对比下

猪猪

哦 学习了  知己知彼方能。。。。:)

paomo86

学习了……:D

小雄

发点图比较容易吸收。。:lol    不过这样也行。

在意z

谢谢楼主分享技术。。