[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

6 e" b0 _& f1 J+ P6 F5 Z
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队% Y3 p8 T B9 V/ W" C2 m5 u* e
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.; v/ K, Q& q! @
WScript.Shell组件---可以调用系统内核运行DOS基本命令. V$ a0 O) \; O( j# @2 v# x" y* p
Shell.Application组件--可以调用系统内核运行DOS基本命令.# X1 Y* V9 d7 [8 _

一.使用FileSystemObject组件

- v' E( C; m5 X& X" H7 [5 e+ q  k1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
( T, z# M" ?0 O. ~+ R2 THKEY_CLASSES_ROOT\Scripting.FileSystemObject\
+ Z3 Z$ J! W# o& H* A2 r) r改名为其它的名字，如：改为FileSystemObject_3800: U/ l  c; M& d; }5 f
自己以后调用的时候使用这个就可以正常调用此组件了., |5 U8 c: @2 x# Z1 Z
2.也要将clsid值也改一下; y/ r2 _: t# ]5 I
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值. f3 W$ V& ]* ?3 r7 q/ ?
可以将其删除，来防止此类木马的危害.
9 s$ f; {% T2 ~3 c3 Y2 c5 i3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
' D8 @" k$ Y& D5 n% L. W5 W/ [如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件# g% H" d5 z8 p+ `; V
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:3 c2 L( c) C, U6 E0 ?+ j
cacls C:\WINNT\system32\scrrun.dll /e /d guests4 v3 e% n/ `  p# I

二.使用WScript.Shell组件5 O8 _0 O3 { J- e, U

/ N) k0 _: o: B! v1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.8 s# r$ b4 ]: e! u1 B8 v

& B' H+ g+ U) o5 H0 l) MHKEY_CLASSES_ROOT\WScript.Shell\
2 ^  n+ U, F2 L7 o1 j及
. s* D% F! P7 z! ?& bHKEY_CLASSES_ROOT\WScript.Shell.1\+ X, J5 C' d6 H1 ~+ x6 @$ ~. q, K
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc6 U" [+ ^* _  [
自己以后调用的时候使用这个就可以正常调用此组件了" p; f" E/ R% {' Q( D3 Z' I( H

0 N) \6 Q& F9 |7 ?1 v% m, b5 a2.也要将clsid值也改一下, K" ]3 ~& [  m# _) l
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
+ j' l9 q: q: {& z6 ~+ @9 C) mHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
! _% |: T( g) l# U  b也可以将其删除，来防止此类木马的危害。3 r' a5 ~6 j7 c5 D

" M1 |. x' ~7 r* u# x
三.使用Shell.Application组件0 n5 _# T* V5 O9 S, n+ w0 h' h7 e

1 e+ B) T: Y) ?3 ^1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
6 m6 d+ L% A/ x( }3 Q. ]2 |( D  ~HKEY_CLASSES_ROOT\Shell.Application\& a2 A. `- N" X2 Z8 f* ]% K
及# w' p; e# C- @. o3 C- t
HKEY_CLASSES_ROOT\Shell.Application.1\
* \9 l2 o& u2 i2 H, x9 I4 k改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName: [! u) G% i, R$ Y! f; S# [
自己以后调用的时候使用这个就可以正常调用此组件了
* E: ~' F  O; g, r8 ^0 a/ K2.也要将clsid值也改一下$ R# }* ]3 X; H, O0 H+ y
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
0 F! u/ I+ f5 ?- hHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
8 W9 J1 J  h/ Z1 K  b: r& s也可以将其删除，来防止此类木马的危害。' m$ k5 D% |. \) z4 o

% T( K' }& V" F; C* j) [2 \( u3.禁止Guest用户使用shell32.dll来防止调用此组件命令:7 U2 K0 z3 U, w
cacls C:\WINNT\system32\shell32.dll /e /d guests) Y; a0 R+ u" o" J

! }3 q1 U( S; c0 K( u! W; n5 x$ W
四.调用cmd.exe

' ?- U/ P! W: p禁用Guests组用户调用cmd.exe命令:
5 r1 K# M% ]* ccacls C:\WINNT\system32\Cmd.exe /e /d guests) X5 L) E1 W% ^" U8 A( W

五.其它危险组件处理:

5 B9 t% Q# a. E
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
1 j0 E) z, S" q; R, hWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
2 r+ q/ v" n) R- l- oWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74); ^9 t0 g2 B3 a$ S# t

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些., G% P9 E- w x" |- V' D4 I

PS:有时间把图加上去，或者作个教程