[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

2 K. x S; y2 R1 F& k& A$ u& Q1 x- G
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)9 p: M3 S5 s6 F | G: M% U4 M3 A
信息来源：3.A.S.T网络安全技术团队- p! s3 v) F5 @$ v/ }4 H7 e7 E! `
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.

一.使用FileSystemObject组件4 `' r2 ^0 F9 z/ [3 x/ Y

- H: R9 u: ]; }4 f
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.# v' I' D5 t7 Y
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\. z# C' M# z* `1 s: Z# v! p
改名为其它的名字，如：改为FileSystemObject_3800: Y* E% w9 z. E. _+ U' T
自己以后调用的时候使用这个就可以正常调用此组件了.
3 H# W* m: W0 d2 I8 r$ q2.也要将clsid值也改一下
. T i; x3 m5 k* A8 ?' tHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值& c% k- O1 c& @& L$ A6 D, J2 S
可以将其删除，来防止此类木马的危害.
9 o8 d- T- Y* q4 g$ ~/ ]1 Y9 B$ ]3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 9 n& | c! Z7 O% o2 G# N3 i' I- O
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
0 @9 o" ?. z% a& D8 H8 p4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:* ]: l1 Y2 \: _) t
cacls C:\WINNT\system32\scrrun.dll /e /d guests3 z1 [2 t+ m* m/ m# G

. t0 s& d; C' f: b! G7 l4 J
二.使用WScript.Shell组件

' s% ^+ Q7 C) Q3 I9 I( s; L
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
7 o% L7 [. n, \: `
( n# {( r& d5 s9 h9 D. d: V5 EHKEY_CLASSES_ROOT\WScript.Shell\% \/ r# n( b7 Y3 f- {* n7 h/ b
及1 ]7 t/ o$ D3 c4 D9 z$ B
HKEY_CLASSES_ROOT\WScript.Shell.1\
. v2 s h& P: D6 V" P3 w改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
4 Q0 o0 P6 _1 T4 H" D+ `4 u, B自己以后调用的时候使用这个就可以正常调用此组件了& d5 _0 A5 _1 m; A5 `

) L( r$ ^% E9 x* }7 W2.也要将clsid值也改一下+ J }) m0 C O* m5 W& X5 ^/ Q% @
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值& M! t* W7 L! M8 c+ v1 Y( E5 S) {" j
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值' Z+ H! N5 D) e, z$ N1 I) n
也可以将其删除，来防止此类木马的危害。( ^9 n" ?6 M$ b

三.使用Shell.Application组件, T* R" y1 X1 R, { S5 D

$ k( k) I; h1 s" L8 I1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
$ w& w3 f( ^5 ]0 ?1 B+ V! V* j; \8 UHKEY_CLASSES_ROOT\Shell.Application\' L( B* I; z4 m' ~+ W
及5 p+ y m8 ?3 Y# k/ f7 ]6 ^) {0 @
HKEY_CLASSES_ROOT\Shell.Application.1\3 ?: M1 `0 A1 @8 N2 W; h% {! a
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName' R) J, Y* N4 c0 `# i
自己以后调用的时候使用这个就可以正常调用此组件了1 B+ \3 a; T! M" ^3 m9 z
2.也要将clsid值也改一下
7 r( N; ]3 R; b8 {HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
! l/ L. x0 w5 J6 ^( I, S5 YHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
5 N6 w+ O) W6 O; H# a也可以将其删除，来防止此类木马的危害。% R/ D; T6 V/ `+ N% Z' U Z+ Z
" u" Z7 l. C7 p2 ?; F7 D
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
7 A. U% ?( D( i( T: ]' q) Qcacls C:\WINNT\system32\shell32.dll /e /d guests
% I/ S. B. Q5 _" i

+ e! s: F4 T1 e+ v, ~0 c7 a& e
四.调用cmd.exe! O1 Q d' d( w# B) h8 U

- G, `9 ?' t; S禁用Guests组用户调用cmd.exe命令:
v9 _8 V' T: ~% ]/ Rcacls C:\WINNT\system32\Cmd.exe /e /d guests
* e1 Y D( L/ i( v$ `6 A; t9 F K

$ T: u! @# [9 y' N

五.其它危险组件处理:: H( W# u4 r9 s! @) a) \+ q" z& f4 S

; ?3 o. \; c2 q: IAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) ' b+ j$ m1 U2 f
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
) k/ g2 _! k6 J4 TWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)4 h& ]& @2 l$ k" ]8 n

% B) U8 a! ~" _

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.' I" t6 r" n- w6 q6 M2 B8 \
9 m5 ~5 W( _9 g$ ~/ h
PS:有时间把图加上去，或者作个教程