[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

$ R- v+ t; ^7 }% F9 o+ @3 z% o

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.. c. ^' v2 @: X9 S$ c: ~/ F& i
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.5 J1 K$ q. a6 j* X
6 W( ]0 t6 ^8 q3 ^! B3 x' M
一.使用FileSystemObject组件

& u. O* }& z% V7 T
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
9 U  D5 E( H8 QHKEY_CLASSES_ROOT\Scripting.FileSystemObject\+ U. I' q% W# y
改名为其它的名字，如：改为FileSystemObject_38003 b- B6 |! w( z/ o
自己以后调用的时候使用这个就可以正常调用此组件了.
( C5 T( K4 H4 v# Y( u+ f2.也要将clsid值也改一下
5 K. {+ ?7 u8 U5 QHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值0 z+ k! r' l' H
可以将其删除，来防止此类木马的危害.) u) w+ @- R* U1 ]
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
; G% W4 r! d+ `如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
9 U" S& R  b* L3 v# e( Z% d& Z4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:" L) i5 J1 [' b: y7 q
cacls C:\WINNT\system32\scrrun.dll /e /d guests1 x+ r5 z9 q1 o* q" ^8 ~9 _

2 n0 n1 b7 |- v0 w7 E( p' ] _
( j% H; @! L. k; b3 q( V
二.使用WScript.Shell组件- y9 j$ M- L7 V- j$ ~/ n) T" }8 l

" d/ n: N3 g  a# ~! N
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.% P# M* _  O# [/ h% C) s5 P
' F2 h! e6 ]$ Y! w  m6 E
HKEY_CLASSES_ROOT\WScript.Shell\
( n" h! s0 o; R5 y/ b7 H及
" O+ @" ?0 O* G( L+ s: K  pHKEY_CLASSES_ROOT\WScript.Shell.1\* p6 _7 k& F9 `) M% H" x6 T
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc* ^: \* G. O5 t, u; J: @) U
自己以后调用的时候使用这个就可以正常调用此组件了
0 N& Y. N& M7 ~
- K+ b# X4 y* ^7 X6 T: W$ F2 i2.也要将clsid值也改一下# R2 G9 ^" G" M# O5 b
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值1 |& ]% L; I1 C, F6 H
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
" z6 G1 ?# m' _. J# E也可以将其删除，来防止此类木马的危害。; ^: k9 q) y+ h9 x. N$ U, R" [

" r" j% P1 E0 v
三.使用Shell.Application组件

7 s5 J5 X$ [# J& j1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
, A/ m1 }9 K1 p8 z9 a9 dHKEY_CLASSES_ROOT\Shell.Application\
, p; c) g" _7 O; X% O% n2 ?: N及
6 V, _( N. W, a$ OHKEY_CLASSES_ROOT\Shell.Application.1\
5 S& t+ \5 B$ ~/ n9 E" }  @改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
8 y0 B# g2 A, F4 L6 `自己以后调用的时候使用这个就可以正常调用此组件了
* d1 V4 Y+ t" v  t: C  N2.也要将clsid值也改一下8 N6 M1 W2 n( U1 e+ o5 J, K
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
. |! h# N: |8 c$ I( w3 ~HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
( p% X# j/ w' o" i8 U! i1 B也可以将其删除，来防止此类木马的危害。( L5 v2 |7 P) E$ ^
7 X" J: x4 B" M
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:0 A" Q. Q/ O; _  F) a
cacls C:\WINNT\system32\shell32.dll /e /d guests
& U0 l0 T0 ~9 v& a8 N) U

四.调用cmd.exe

" q% l8 ]: D3 H# O% K _
禁用Guests组用户调用cmd.exe命令:1 j# y# b5 O" t) T4 P! Q
cacls C:\WINNT\system32\Cmd.exe /e /d guests* f7 J8 s7 }! z: b8 m# Z

3 b& N- i& u- E; [/ X& Z
五.其它危险组件处理: i. a7 s; Z @- ^4 v! b

( m( d4 e9 x. ]& [1 @3 T3 IAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) * x2 ?. E$ O7 y8 s
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)$ s' y( Q: [( a) J& A- v! G0 }4 V

+ U+ @- `( W. _3 b% S' t0 w
5 c2 g( D0 P; b: ?
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程