[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

. a! v5 l, B/ f6 h! b
: m" ^2 ~$ A% ^- J
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.  D# d& v; N  H( `1 Q  X
WScript.Shell组件---可以调用系统内核运行DOS基本命令.. q# A) j1 K& y* t/ h
Shell.Application组件--可以调用系统内核运行DOS基本命令.- x1 f" E9 [  ^
1 H0 M4 d5 B) L
一.使用FileSystemObject组件) j' P  S4 Z  J! I

$ b  s) @! V3 m6 X/ u1.可以通过修改注册表，将此组件改名，来防止此类木马的危害., F' Y9 I" v4 Q" \" J0 s
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\9 s# ]( J" K3 U! y- w$ S
改名为其它的名字，如：改为FileSystemObject_3800
6 u& ~2 Y- l1 S1 o自己以后调用的时候使用这个就可以正常调用此组件了.
' n( C! S( \! j2.也要将clsid值也改一下- Q" d4 y3 p3 y! B$ W2 T
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值7 x$ q8 t$ e' {3 U
可以将其删除，来防止此类木马的危害.0 @6 ]' V* W% z( @. }( J/ a
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
# m( U( ^6 u0 S3 o; N如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件3 {" a9 ^4 J! R3 s5 C) a
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:5 S  Z1 v  l/ c
cacls C:\WINNT\system32\scrrun.dll /e /d guests/ j0 M5 G" I& b* a

: i# |. T4 e2 ~* M* B1 ] m
: { D$ I0 w: r) U3 X5 G
二.使用WScript.Shell组件

$ [: m  |2 l! E/ N6 H$ m6 \* F
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.# F; I. f9 p. B0 q" G/ z7 ^9 \" I
7 I  t, w& q8 N1 k1 F( Z5 P
HKEY_CLASSES_ROOT\WScript.Shell\5 ~9 N* R. Y) g# p9 K) x  j
及( m+ s3 z) B9 V5 C
HKEY_CLASSES_ROOT\WScript.Shell.1\
3 y; `" U$ C8 T, i7 z& w改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
! R! e6 x1 C( J. M% c自己以后调用的时候使用这个就可以正常调用此组件了! R& B2 q7 }. d. V& [  H+ {
) }) Q8 n, Z8 ?( c* A
2.也要将clsid值也改一下
( Q1 a+ n; c. t8 i& P* _HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值. k1 l6 q$ R$ h  t
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
/ e7 V8 o0 d- z7 Y& @也可以将其删除，来防止此类木马的危害。
, ~; Y* P' `6 U

三.使用Shell.Application组件

5 n' t7 |9 X9 Z. j
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。7 p$ ^) k4 ~2 p2 z5 `5 m7 g; v
HKEY_CLASSES_ROOT\Shell.Application\! k" e% N4 N5 r1 g$ {, e8 {
及
" e; h9 i# P# Z$ }2 l3 T7 B. QHKEY_CLASSES_ROOT\Shell.Application.1\
9 W& B- C) e5 l# i9 ~改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
5 j# v6 F+ V. b: Q4 `* `- } x自己以后调用的时候使用这个就可以正常调用此组件了
. N7 x2 i. Q' |3 j7 f2.也要将clsid值也改一下2 V) J' b" ^# L- j, m$ `# l
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
2 f6 d- [( m* Z% J" gHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
2 d4 M7 X/ Z& t5 p8 l2 o0 {' r# l也可以将其删除，来防止此类木马的危害。
9 J( D( E1 V! y# p- z
; c9 l+ i3 A% h' ~: Q% L; S3.禁止Guest用户使用shell32.dll来防止调用此组件命令:& {, a( ]/ Q v+ P: Z
cacls C:\WINNT\system32\shell32.dll /e /d guests
) @6 I2 l3 e, O2 l) K2 f

四.调用cmd.exe/ |- W8 |! n/ }& \+ A

( E3 @% h, h+ ?) ]( ~禁用Guests组用户调用cmd.exe命令:
/ [0 ^ E) Q! rcacls C:\WINNT\system32\Cmd.exe /e /d guests& ~3 i) D3 h) x5 [

- }# ~7 Z' w( u2 S: y: V& r1 |
. k2 {+ J# |* `
五.其它危险组件处理:& h& ^# T, D* B& {+ ^$ A

8 f) S0 [9 E0 p0 W j$ KAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) : U7 a. L+ c& q" J" V- O1 V
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
. m& o+ x8 T* A1 Q0 qWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
' M& \6 g: |. O6 `" L

' @* Q$ {5 `8 [- J
0 n& _( ?: `6 y) R5 p
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.( S+ X: |4 x( A9 V9 ?
; J# f5 n# |6 r' q. L' B7 n7 K# A5 p
PS:有时间把图加上去，或者作个教程