[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)7 d- i# ^( \4 j( y5 z4 O( N
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.* V! @. ]& Y. c- h# f* S5 X
Shell.Application组件--可以调用系统内核运行DOS基本命令.& Y3 v; ?0 G6 G& C2 P& Z& p* b
. Q; o' X: @6 _, Z( ^6 _# S
一.使用FileSystemObject组件& A3 P9 J& \6 W+ h

* d0 {+ R' s: x% V
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.: L' F+ `. j! |0 [$ u
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\. s1 U2 t& s* V1 j2 D% S
改名为其它的名字，如：改为FileSystemObject_3800: l0 j4 ?6 @8 z  g" |5 s
自己以后调用的时候使用这个就可以正常调用此组件了.) r2 Y& D3 S$ w4 K- ]& R( ~
2.也要将clsid值也改一下( j  |! m( a7 L4 s# X" h( Z$ K
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
! ?- h1 {" O$ G7 P% V0 S可以将其删除，来防止此类木马的危害.* E- Y" s( I4 D- a; O
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
, j* \" l/ U/ Y4 o- a* _0 r* y如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
* u5 {* C8 Z% X' C' A4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
/ _. Y$ C5 a- pcacls C:\WINNT\system32\scrrun.dll /e /d guests
: b) L8 S" M; q) N( I8 m1 Q) i

0 _" d' k" L1 u& c8 L+ t6 r
8 {% s4 [7 @0 a0 a
二.使用WScript.Shell组件

. f" [" N" J) }1 E; a
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
4 p p! L( \$ N% K" q
' p# D6 v) J& s- U9 P- a) JHKEY_CLASSES_ROOT\WScript.Shell\- l) x) n% ^- X; S) D2 E
及
; x4 {+ |) m$ L) |* X3 XHKEY_CLASSES_ROOT\WScript.Shell.1\' d, X% |1 O% h2 J( x% @
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
* l2 B# K H; W* o自己以后调用的时候使用这个就可以正常调用此组件了+ l. M0 k8 A; w) ~( v: a
8 S% N+ H% u+ _
2.也要将clsid值也改一下) N' m. t! }$ B/ i) C7 y3 l. y
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
& V$ N4 c, t' q! IHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值8 G8 U, L6 |+ h. o
也可以将其删除，来防止此类木马的危害。
) [/ K' ~, l- m" B/ M5 T- P0 A

三.使用Shell.Application组件

- g! L2 d. C; m& Y6 A8 |1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。( L) z/ L$ x* y, |( }/ F
HKEY_CLASSES_ROOT\Shell.Application\' f. e! k4 M* h" ^/ v4 y
及5 p) `- x: m3 B  u, w- `
HKEY_CLASSES_ROOT\Shell.Application.1\; m' }! Y" ~# ?) {' _. i: S  J1 c* O4 ~
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
: u+ Q! r# w+ L+ e) A5 ^6 w自己以后调用的时候使用这个就可以正常调用此组件了
- B% i! ~# w/ I+ ?, g2.也要将clsid值也改一下4 a/ `5 R$ b1 H. [' d1 d
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值& e+ J" m9 O4 e8 k1 n0 ?# ^* @
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
6 t  x# u& Q8 u* @4 \; g也可以将其删除，来防止此类木马的危害。
' M5 G8 `, t7 m; n+ P1 }7 j
( Q5 ^- v5 `& ~. {3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
% q0 t# ]8 I& g6 C  D* _, ocacls C:\WINNT\system32\shell32.dll /e /d guests1 x* U: ?$ k* v0 b. `3 j+ x- B

, }0 U! W% z& c! g0 O9 |! c9 [
四.调用cmd.exe+ V$ a+ M: o* {0 Q& h, ?- g3 U

# M2 a1 l4 R0 a8 `1 H: E C禁用Guests组用户调用cmd.exe命令:9 x& t* q5 j' j! f% h, Q
cacls C:\WINNT\system32\Cmd.exe /e /d guests4 b, }& ]& {+ e" w5 X' K! Y- u

# n5 w1 k/ v o# P
五.其它危险组件处理:

7 V! z- V4 }& U; M7 h& w& n0 \7 w# SAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
" J/ Z0 T; y8 |WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
8 C5 {: E$ r5 b8 S$ u7 _& S2 p3 NWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)" v. o6 ?8 F2 v" D' z1 f

# n. M+ w/ A2 \1 p( q6 Q
- q, t% l8 d) g9 O
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
+ w9 j2 O8 b2 n/ d8 p
PS:有时间把图加上去，或者作个教程