[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

  k. L6 R2 a7 r9 D& S5 m0 T2 B. _( t7 f4 y/ o) l0 R
原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
* w4 G8 A, k/ l1 \( [+ K: B信息来源：3.A.S.T网络安全技术团队7 [* m+ O# G4 F- y' b
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
4 s, G* M2 U) j8 w# @FileSystemObject组件---对文件进行常规操作." B8 }  g, f. O' ?0 V5 U+ p
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
* D! b% b4 A( Q" I; F% a/ _( oShell.Application组件--可以调用系统内核运行DOS基本命令.0 Q3 V& q7 j+ g9 U) p+ I& y

) p( W, @7 \: e/ f- _# f+ X一.使用FileSystemObject组件8 A1 V* u. w3 [( r+ X( ~" @

# R8 e! c' S  z- i
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害." B* C+ s7 q2 S( g* V5 b7 f$ ?) M
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\6 A3 v7 K9 r9 o# P! F/ g7 T
改名为其它的名字，如：改为FileSystemObject_3800
$ R5 H4 _: F5 [. S6 y# E0 P5 q& H自己以后调用的时候使用这个就可以正常调用此组件了.! m* \  \0 M& e+ B" B8 k( z$ u6 f
2.也要将clsid值也改一下
# @5 d1 j3 |2 S% b# ~, jHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值, g# Q+ V" L, g2 f3 c9 `
可以将其删除，来防止此类木马的危害.
. F, ?8 @' y3 [* C% N. h( y7 ?3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
8 z) h# `3 a$ k如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件3 d7 c$ h' l& D
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
* a; z  l4 g  E* ocacls C:\WINNT\system32\scrrun.dll /e /d guests3 j* O/ V) n4 h, |# U+ S

# Z/ L3 O. b+ e- V9 r9 Q; R  s
, j4 X, O% g( H
二.使用WScript.Shell组件$ X/ l% l3 I9 |* t( g/ K

2 C  F- Q& q  k6 T& \) s& c
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.( X0 x, A1 D% q

( r) g  C3 k/ M; ?% u2 W% \" }HKEY_CLASSES_ROOT\WScript.Shell\* J& t- m6 }4 H1 k) n
及
8 j' F" l5 g  cHKEY_CLASSES_ROOT\WScript.Shell.1\' m' d5 ?5 h8 n% B
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
8 U- l& a) i7 U4 I) G+ Y  k" g自己以后调用的时候使用这个就可以正常调用此组件了0 I" |$ [8 t- y( R
# d; y7 Y1 D" [# \  d  E" o  }  v
2.也要将clsid值也改一下: }) ?* h; C/ t  M( Y! k
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
  K' e7 ]9 |$ sHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
: e) |& G, g- t也可以将其删除，来防止此类木马的危害。
8 C( C/ o$ U1 a$ B8 R8 v

( x/ w+ I# X: d4 h9 D) M: @三.使用Shell.Application组件
! J8 |" L- ~4 W4 {

5 L2 h/ l# s4 q% S3 f7 N7 ?
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
' u6 I' q% S) Q4 DHKEY_CLASSES_ROOT\Shell.Application\
3 [9 C& C1 M6 d+ T5 }* i及! X4 B7 F( z: y: w9 ?8 D' H
HKEY_CLASSES_ROOT\Shell.Application.1\* H* V* P: [$ [
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
' n" m, C  w+ G自己以后调用的时候使用这个就可以正常调用此组件了9 e, g+ l! g1 G9 ^9 ]
2.也要将clsid值也改一下& j$ S/ D* |& v$ V4 E
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
. k0 q4 g  [4 K# P3 _$ d& H. U8 wHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值/ _5 |0 ~2 y( G! ?; G+ v
也可以将其删除，来防止此类木马的危害。" Y1 H7 g  b5 }
  K; U5 u4 M0 _7 Q1 W  l, Z4 r
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:9 P) }( p, b* a( e+ y7 G
cacls C:\WINNT\system32\shell32.dll /e /d guests
- Q  a; E' F/ b

7 h, _  c; W0 h
四.调用cmd.exe
: j3 p6 ^; a! D, t" }9 V

& f6 x9 T3 p4 k% ~禁用Guests组用户调用cmd.exe命令:
7 Z2 m" n2 Z' O; C0 J- S: H6 M# ncacls C:\WINNT\system32\Cmd.exe /e /d guests
3 {* m9 F) V, r7 v" i4 a

9 G3 e& B3 e# R8 `* E, y
4 }* C" f, {3 k' [, `" c
五.其它危险组件处理:/ p3 T1 \  m- \# n/ w

4 K: B8 {, G9 k2 e! n( z! PAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 1 l- ^. C, N( G2 u6 {/ M
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74), Q& {+ ^$ r' `) ]9 s1 m
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
3 G/ f' o/ {- J) n3 [

0 \# v8 V& j% O

8 x6 b: o$ g% w" q. n按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.+ R& J4 ^$ t4 D( _4 G3 O9 d  [' j

+ R! v2 H- z1 Z1 M3 C  c0 ^* \3 aPS:有时间把图加上去，或者作个教程

在意z

谢谢楼主分享技术。。

小雄

发点图比较容易吸收。。:lol    不过这样也行。

paomo86

学习了……:D

猪猪

哦 学习了  知己知彼方能。。。。:)

saitojie

有控发点图上来对比下

柔肠寸断

我本机测试了下7 f4 X" N! @3 O. n+ o* Z
$ g/ a. k1 G! |; |1 n  f
如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！