[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

3 C. E/ i8 G7 i* E& y( ?) u
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.5 p9 O% |: z, r  P
WScript.Shell组件---可以调用系统内核运行DOS基本命令.7 k4 _. {  z2 [5 D2 l# r( L
Shell.Application组件--可以调用系统内核运行DOS基本命令.
4 g& F1 c8 R0 Q% N/ u+ W- _  w
一.使用FileSystemObject组件

8 Y. U% P9 w- n8 l  }, K
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
* y( U  W5 n" J; h0 h8 P' g' tHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
/ E; t$ w0 L) k+ N改名为其它的名字，如：改为FileSystemObject_38001 M- c; B6 s# k) ]$ u. u
自己以后调用的时候使用这个就可以正常调用此组件了.- a7 ]- Q3 B8 e, \) J- X! C
2.也要将clsid值也改一下7 c. b& s( x4 ]$ L5 s  ?
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值" f9 ~, Q9 h$ O. F- I
可以将其删除，来防止此类木马的危害.+ O0 e, \* Z/ `4 {% H0 b, u
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
  r! I; w( a3 }0 |) e, Z如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
3 [- G. _  k  R/ c( X4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
7 N7 h. k. w$ v8 fcacls C:\WINNT\system32\scrrun.dll /e /d guests7 Q% q+ p- b; J) |. R

* z5 A0 t8 e; [( h( o

二.使用WScript.Shell组件9 V* C" y& f8 |( I) \8 W

0 p$ I1 I& w) f1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
% T3 E8 W0 Q1 q. V# ^& w- V# f& Y4 U3 G  Q- P
HKEY_CLASSES_ROOT\WScript.Shell\
. {6 w( M" g! U# t" j6 c/ K9 [& g+ d及
/ }8 c0 P8 _5 ^  ~HKEY_CLASSES_ROOT\WScript.Shell.1\
# p. X, m! [/ j改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc, x; o" `" X! J! b0 \' ]5 N# U2 z
自己以后调用的时候使用这个就可以正常调用此组件了
, ]; J7 x3 A* L- U' d# S: d( _" c8 m9 G# M8 U, |% Q% [
2.也要将clsid值也改一下
5 w2 q, L4 O, IHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
. \- B# O- R: m3 MHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
, f, j; O8 ]3 g3 U也可以将其删除，来防止此类木马的危害。1 d7 P& u  V: i$ G

' N& Y% e' X* Y8 A
三.使用Shell.Application组件& P5 _$ [ l( D6 W7 [0 X

9 i4 k) U' {& w2 G- W+ d+ ]* e. ]; {
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。' g$ @; T8 c: I0 z' l- f: V6 v2 R
HKEY_CLASSES_ROOT\Shell.Application\8 W! ~+ Y4 q- ~% p
及, ^- f0 q* z& t2 r+ t
HKEY_CLASSES_ROOT\Shell.Application.1\
8 _* n9 C: c- M0 s2 b2 E$ p改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
! N# c- R2 d ?0 r4 N自己以后调用的时候使用这个就可以正常调用此组件了& {+ n' p& ^# j R; x
2.也要将clsid值也改一下( N2 S! f6 k& g
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
$ _, x: T8 L/ x4 D8 ^/ kHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值# a- [; C" O T9 d- t. {
也可以将其删除，来防止此类木马的危害。% X- f4 e& N' W9 f: a) Q
+ Q) X. P, G8 l& f+ P) G: Q. Y2 A
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
- [7 k4 j- k3 {) Pcacls C:\WINNT\system32\shell32.dll /e /d guests* ]3 G' W& J( k- M& c& i

四.调用cmd.exe$ s6 ^8 p7 @* Q, X6 o

; P% t8 F4 ~$ R& l3 Q! v1 u
禁用Guests组用户调用cmd.exe命令:) a% J% X% e" h( A4 c0 r
cacls C:\WINNT\system32\Cmd.exe /e /d guests
0 G0 Y5 \+ m1 \

! O% B, v; w+ @( n: n4 `

五.其它危险组件处理:

8 E$ ~, J8 B2 w4 u7 o, M8 B9 a, C" n
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 9 }1 F$ `: F$ k
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
. C& c& k$ z0 [$ S& U0 q! tWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
% E5 s! s) ~, Y+ r& B o

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.2 D2 O" ]5 p5 y: g( P

PS:有时间把图加上去，或者作个教程