[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

" ?2 l( h4 J+ l& k5 T
7 s# e# v7 D, j6 i3 E2 a7 T
原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)8 C7 C5 F' e: ]% R, K* R. u& y
信息来源：3.A.S.T网络安全技术团队3 ?) f9 q4 K( p& [
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
9 i+ q, `2 I# C4 @) SFileSystemObject组件---对文件进行常规操作.
6 H! _8 E' o( p" U7 q5 v2 FWScript.Shell组件---可以调用系统内核运行DOS基本命令.
7 ]/ h6 ^4 c6 i  @/ z$ vShell.Application组件--可以调用系统内核运行DOS基本命令.4 T, ^  d# O3 G6 A2 a
# F, q  f0 z9 `* K1 @
一.使用FileSystemObject组件
: C+ u5 m7 C8 q: j

  X6 u1 x% n7 `8 l! s1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
% ~( b1 j1 H: a) DHKEY_CLASSES_ROOT\Scripting.FileSystemObject\6 P  @2 z8 i! d+ P& C% K9 D
改名为其它的名字，如：改为FileSystemObject_3800
9 `3 s7 G2 Z% i( \: `) p自己以后调用的时候使用这个就可以正常调用此组件了.. U* I# k/ X' X! K
2.也要将clsid值也改一下% Z" [2 W) e" ?& N( ~/ ?9 n% c# U' G
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值  A( X2 V2 T/ o+ R% n  H/ q) q
可以将其删除，来防止此类木马的危害.
0 [' j7 n0 s: @) ]4 G/ H0 c3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  $ S6 `3 Q* ]: [- r- P% D1 W
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件+ g/ Y  f9 @# G
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:4 s& R, |* X$ P. b6 ?
cacls C:\WINNT\system32\scrrun.dll /e /d guests
, @. ^4 P0 U: X$ m) g. _! G

+ ?/ q9 [# O4 Q0 w' y- h( Q/ Z, D/ J$ g- h7 ^
二.使用WScript.Shell组件2 F; n9 A% w' i" P7 `3 h5 f

/ P# q: x+ `; v% D9 }
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.: L' k# Q& ]% G7 g) Z/ Y

" U! T. c, c" q) s7 j- MHKEY_CLASSES_ROOT\WScript.Shell\
! r0 ?4 E: ~: C% g9 ~! @及; }) p- s3 {4 A% h2 U  L
HKEY_CLASSES_ROOT\WScript.Shell.1\
: K: S  K/ z- F1 i: e' I改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc1 a: f4 M1 M% a- E6 `, k
自己以后调用的时候使用这个就可以正常调用此组件了4 _1 K( q; V0 I% N

; w" {! E9 N- i2.也要将clsid值也改一下2 J% Y+ X* Z+ s9 q2 R2 [2 ]
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值- }) |0 i' C: z. L* l: [3 u
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
4 Z8 G3 G& g' {0 {也可以将其删除，来防止此类木马的危害。; N# D# b, Z1 s$ D6 G! k: J

% F  `* P1 t# I4 N' ^三.使用Shell.Application组件
9 J2 ?6 y( l" g/ u. i7 l# G9 k

  G) @8 k: J/ F6 ^
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
- F& }: ]* z' o# zHKEY_CLASSES_ROOT\Shell.Application\1 e& j: g! o' V6 Z1 r
及0 B) D' n- \' x. Y1 l. p: P
HKEY_CLASSES_ROOT\Shell.Application.1\
' s+ ~: S( H% u改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
( t7 H, k3 U& j( A自己以后调用的时候使用这个就可以正常调用此组件了* t* D& z* g+ h5 K% {1 V1 L
2.也要将clsid值也改一下: `1 r  k" B* ~; q4 t2 y7 ~, l3 h
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值+ X% ^3 L! M- `3 L& V) ]
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
: N: }# P- e: U; X也可以将其删除，来防止此类木马的危害。
! I& p" m4 @: m8 a3 S% b5 O: A8 X$ B, l: y* [% u' E& ?. I2 |
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:: L6 f8 l8 ^; u. {
cacls C:\WINNT\system32\shell32.dll /e /d guests
! K! h2 T1 B' W# J

. V; Q# U, ~. C5 o2 r% A: h+ c四.调用cmd.exe% m. y9 N$ v$ n& ]/ L

# y* \0 J( c& O( i禁用Guests组用户调用cmd.exe命令:
* X( U$ S, K0 Zcacls C:\WINNT\system32\Cmd.exe /e /d guests0 u% @& X4 R* d/ q$ i

. v  I% `  V) }; B2 }- y
1 U: u$ ]- E: ^8 o
五.其它危险组件处理:1 `# J7 W( C# s# c$ c

3 O0 g, q+ F5 e' m4 zAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
* p- N6 q. z# f9 ZWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)% H1 ~/ p3 x: z% x# l! O8 E
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74); L# L4 c' [* H' }

7 \; e: r& w7 a& r* k' x1 X
$ ^$ L3 b' u( n6 \; F按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些., K: r0 N9 O3 D7 x& W8 X

7 N8 l% \( A, s* ?8 j: t  @4 xPS:有时间把图加上去，或者作个教程

在意z

谢谢楼主分享技术。。

小雄

发点图比较容易吸收。。:lol    不过这样也行。

paomo86

学习了……:D

猪猪

哦 学习了  知己知彼方能。。。。:)

saitojie

有控发点图上来对比下

柔肠寸断

我本机测试了下7 W; [  f; Q: Z1 L6 Y% d
. l- S+ T7 A5 r, I
如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！