[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

( k& S0 B5 h0 H! P
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)* p4 ]5 G9 t% H- } X0 j6 [
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.) B1 }: ^; k" p' e4 D2 e: n" X
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.3 x2 f5 M; Y2 U
. L5 r4 J9 n/ n: h* a
一.使用FileSystemObject组件) i$ ]$ X% o9 P/ o* D0 v( U

0 }: k7 V! T. \; y9 G9 Z* a
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
8 L& V- N2 n  O$ y5 |7 N- aHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
9 [8 q: q& P( Y: r* l' C, Q改名为其它的名字，如：改为FileSystemObject_3800$ d: V+ J7 Z0 Z
自己以后调用的时候使用这个就可以正常调用此组件了.$ L* J3 T% H  S& N/ P: b" Y
2.也要将clsid值也改一下, L  ?! \$ ^& [& z5 ~
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
2 g7 p0 P; O6 O9 f, d可以将其删除，来防止此类木马的危害.- F* @7 D5 x4 X, C3 c; J/ o2 P
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
$ |2 j8 V( ?, T8 P如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件# u7 \- W7 Z5 b; A
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:1 v4 ?5 Y- H7 [7 A' E8 }! _6 }
cacls C:\WINNT\system32\scrrun.dll /e /d guests
, h# S# F* v" ~: C1 a' T. _- b- k4 [6 V

/ N4 {* K: c& t

二.使用WScript.Shell组件' Q' ?$ n0 |/ b

' b; ^1 l/ h/ i* h% G' y1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
! r8 ^' C( J' C5 P# T! G/ }# {! d3 _, i: t$ G5 _) I! ~; h
HKEY_CLASSES_ROOT\WScript.Shell\
% ]7 Q; w8 k/ U5 ?' Y+ y- ?' s! V- x及) i6 w4 ~+ U2 `: s, b+ h
HKEY_CLASSES_ROOT\WScript.Shell.1\
3 I: [9 }# H( d# k改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
: S. @7 |& a) h1 }6 y) R# ]9 T自己以后调用的时候使用这个就可以正常调用此组件了
+ |; r$ r6 `3 F9 I4 W3 Y2 i% G$ c" ^& w9 T
2.也要将clsid值也改一下
6 h' i6 `3 t: D: tHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
! r4 I! b2 r& M+ A. e6 CHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值( h7 p* A( L1 E
也可以将其删除，来防止此类木马的危害。. G) _6 z0 F4 E0 R2 ], w) r, f4 W6 k

# H' @* @, x3 p& K
三.使用Shell.Application组件

4 [" [" d$ @2 ]; X5 I
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
2 @8 R! |$ F+ u) \9 J1 C5 THKEY_CLASSES_ROOT\Shell.Application\
- w& o0 n+ @! w  `/ `) N及
* d/ v, Z% g: v5 U2 nHKEY_CLASSES_ROOT\Shell.Application.1\9 q! l3 L+ T- i' ?# w0 ~
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
) I7 ]7 O+ i' I" ^+ n自己以后调用的时候使用这个就可以正常调用此组件了# d( k1 i( P+ s
2.也要将clsid值也改一下7 e/ o: A/ @8 O: d) B( [
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值' e0 ?: K7 w$ p
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
5 d# X  o3 M6 G也可以将其删除，来防止此类木马的危害。. q8 A/ D7 X& U/ @- v
$ P# W0 f1 J  Y) \+ H' B6 o
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:' e* v6 E0 |/ w) Z; c( [" \. t  U
cacls C:\WINNT\system32\shell32.dll /e /d guests5 c9 l" c) S3 ]) t6 Q+ |

四.调用cmd.exe

- E, v( ~/ D6 X: ?
禁用Guests组用户调用cmd.exe命令:; c- m" }& L9 l) q
cacls C:\WINNT\system32\Cmd.exe /e /d guests
. T; q+ w4 ~; A, h

五.其它危险组件处理:0 l8 L$ S8 }" m1 p+ _2 b0 l! M

) A% L4 N9 W. g3 Q, L: RAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
; {1 s8 A- v; {" h+ u$ b) ^) @WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
9 M7 S- o# s- ^0 jWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)/ T q- y3 ]1 ~, N8 ^& s# ?6 k* G) r

$ ~* d+ D6 N! b J7 ^4 K% k: c
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.. G7 X9 p' I# I6 s( ^$ s
# T8 J" A9 r# h! }6 _ T" [
PS:有时间把图加上去，或者作个教程