[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.7 a- k4 s; W/ s
Shell.Application组件--可以调用系统内核运行DOS基本命令.# {3 D0 Z6 q {& k8 N' [8 e

一.使用FileSystemObject组件

# A2 }4 Y6 c% z7 L# B( s( o
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
1 U0 f, M8 h- }1 F# d" m) ~! w* GHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
! g9 p7 b0 R5 b2 p8 R; B9 V改名为其它的名字，如：改为FileSystemObject_3800
9 X( U% S# f1 g1 t自己以后调用的时候使用这个就可以正常调用此组件了.
# {% I* v; ?) H2 f) s, `+ m2 ^2.也要将clsid值也改一下- m$ T. D2 ?2 G( q2 I
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值( p) X! Y4 G9 F" T& G) g
可以将其删除，来防止此类木马的危害.
; A' T+ `' p- g/ L5 X3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 4 I' f" k* q" m3 V9 ]
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件4 [9 @! |6 U. i3 n: a. \. {: I: T
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
% J, g u6 F9 G' a" Kcacls C:\WINNT\system32\scrrun.dll /e /d guests E" k( A3 J6 c! M# x$ q

- Z5 n& Q/ R x7 ?1 O0 [

二.使用WScript.Shell组件+ j6 |$ n' X- u, L

9 n: d$ f2 V( J5 U8 R; r% ?  \8 h1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
) `9 l$ f: I) U* _
8 a' O! n1 P+ V1 n  AHKEY_CLASSES_ROOT\WScript.Shell\
9 E4 `6 H6 N/ s  |及
3 I4 c/ p) t" W; b4 PHKEY_CLASSES_ROOT\WScript.Shell.1\5 ?4 X% A( T; r( K3 X  `' K
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
9 E9 G, ^9 l. s$ B, \& K  f自己以后调用的时候使用这个就可以正常调用此组件了
1 {& Y5 x5 `; u9 H* \6 a( z- Y% K9 u$ n
2.也要将clsid值也改一下0 r& S4 g( c6 N7 @9 p, ^0 }. l& q% {
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
- p& R/ D+ ^, M0 b& \+ [9 s$ cHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
7 d! Q6 U) f. }也可以将其删除，来防止此类木马的危害。' ~+ u* Q' z/ U" C/ e! p/ N

三.使用Shell.Application组件/ E5 k5 s2 A0 }1 {

0 l  ?3 w6 {+ ?( D1 v+ {
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
+ |6 f; F; R6 l7 o) QHKEY_CLASSES_ROOT\Shell.Application\4 a# Y9 W) p* J1 D, L  V
及
9 S9 _: y: ]/ c6 lHKEY_CLASSES_ROOT\Shell.Application.1\; b  J6 Q; ~5 Z  m
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName+ f) S- o7 w% w8 ^. ^
自己以后调用的时候使用这个就可以正常调用此组件了
+ M! L# y$ r, L. k. x2.也要将clsid值也改一下
: f& J+ x0 k8 G6 jHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值- s1 Q' R# n2 w* a5 |" q2 \$ k( ^
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
8 \% i9 H' v5 r0 K也可以将其删除，来防止此类木马的危害。
6 {' X% K' g' ^
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
, e4 @9 f; V% _1 Y5 }5 A9 xcacls C:\WINNT\system32\shell32.dll /e /d guests# s0 a% e( e" h( g4 h$ C# _

9 y0 X# \7 s9 B7 W
四.调用cmd.exe

+ b4 @9 v5 I2 \禁用Guests组用户调用cmd.exe命令:7 ]' ]9 V" z1 _! P& ~' f
cacls C:\WINNT\system32\Cmd.exe /e /d guests1 Q3 b/ o& o: o; m% R2 O

9 H, g% q1 ~% k: f1 A) M; e
3 R% E( O. U$ k9 Q( \# p
五.其它危险组件处理:6 |! r% F, z; H) J' t- A: z4 o) C

; b0 |, B. U- {5 K# T5 b+ L
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) - y7 f- R/ g( C3 J6 ~! Q
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)- [' V; M) f, n) C3 G ~
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
/ D8 b P! f& }, q4 ]. {8 s- M9 p- v

4 B; G: c+ A' n j m* {: _ T
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.: {7 P5 B5 F; n2 L* h

PS:有时间把图加上去，或者作个教程