[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

' \" v. T8 J- P" f
Y' V8 O8 r7 t7 i( X" A
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队& Y3 n* n2 H' n8 t. y
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件5 b7 o, r! G4 e4 j7 ^

5 R1 P5 r7 \& A# H; W" D+ K( o
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.% j5 h, l3 f; y6 a
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
3 R( c/ c9 ~5 t3 ? Y% o t$ C! x改名为其它的名字，如：改为FileSystemObject_3800
* F$ [) H0 Y' ^3 n& o自己以后调用的时候使用这个就可以正常调用此组件了.
1 B5 N7 r3 U& O# E2.也要将clsid值也改一下
# b9 M/ T, O. T; {5 [" THKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
5 o1 j# S# t5 n. l1 G/ Z6 A可以将其删除，来防止此类木马的危害.
/ {) \0 j9 o! g2 z' J) W3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
( l* P0 }% F7 l如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
, r( ^- r* d0 s) u5 w4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
5 ~+ K- W4 C( k6 T" N3 fcacls C:\WINNT\system32\scrrun.dll /e /d guests
3 c3 r5 O6 ~9 c$ f5 O/ T! }* M7 j

8 y* u9 \, @% c
0 j' {0 H0 \2 A& s/ p1 T* ?9 D& i
二.使用WScript.Shell组件

1 W( T8 n: y& U' j1 |1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.' o! w: U: W. S% M5 l% T- G! t
7 S# Z$ ~+ X0 ~9 O
HKEY_CLASSES_ROOT\WScript.Shell\( R) G/ J4 S* w" d
及
1 T- H, ]4 i& Q: w4 L; ZHKEY_CLASSES_ROOT\WScript.Shell.1\
5 x4 v }& U/ I$ n( q改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
2 g8 ^4 K9 U0 e+ D自己以后调用的时候使用这个就可以正常调用此组件了4 ?! ~( G2 O4 a+ i% n# F. y$ G# V
; m6 V9 {$ N8 P( Y! ]) v) X
2.也要将clsid值也改一下
4 F- `) e$ c! A6 fHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
( }% k N, W* c% C3 `3 k; NHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
7 c$ J4 H% S! I# `2 n也可以将其删除，来防止此类木马的危害。
1 }! i. T3 y' D+ C/ T5 C" k

三.使用Shell.Application组件

& V* A8 `  _/ v0 d5 @' z+ j
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。; P3 }+ P; I' p) U! ?: r* \0 b& X
HKEY_CLASSES_ROOT\Shell.Application\2 `* R  N8 T# J1 c& t+ ]" N6 G
及
5 s, h, L: H, A# `0 M* |1 nHKEY_CLASSES_ROOT\Shell.Application.1\0 Z  [3 z& L/ K( v! U* H" w
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName3 w+ i  T, @! m) S9 f9 v
自己以后调用的时候使用这个就可以正常调用此组件了4 `* ^7 C! X6 u7 V5 }/ [4 B2 y6 y
2.也要将clsid值也改一下
4 g/ _! t, F9 w$ w' W7 HHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值. c6 n, b  t9 Y
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
# v1 Y# s% H7 D  H& ]" A+ b也可以将其删除，来防止此类木马的危害。
' n2 Z5 ~: @: ~- o5 J/ i- `' N' q2 U- R+ o
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:% H. ]& x4 _6 @
cacls C:\WINNT\system32\shell32.dll /e /d guests
, q6 O& |, V, I. t1 _& ]5 F* |

) n b3 ?2 D$ E Z7 `2 s* z
四.调用cmd.exe

2 Y: e) e( o" ?$ f
禁用Guests组用户调用cmd.exe命令:
* x4 l0 x; R5 A* E8 p1 ? pcacls C:\WINNT\system32\Cmd.exe /e /d guests8 j7 x! d% T$ I

- j# Q( N) ~' F6 l* J( @* {' y

五.其它危险组件处理:

( z: V# Q9 ^' A& j& {5 C
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
5 i$ M2 |! U# i! ^2 aWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)" K( Y2 Y R2 C5 y5 q: T8 f7 I
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)# ]+ y0 G6 k2 n" S" t2 T

+ T& v& }& ]( [7 P
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.; j/ M2 i' J9 U' o+ q1 \6 ~0 {

PS:有时间把图加上去，或者作个教程