[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

  N; f  c# K& R- W8 V% l* F  L
3 L/ B- m- C0 n/ I8 a+ Y. `6 K; R( o
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.6 T% P: [, v$ q7 p( }' M. a
Shell.Application组件--可以调用系统内核运行DOS基本命令.
" ^# Y: G4 w, ?2 r  O
一.使用FileSystemObject组件/ P6 N' x5 ]$ E3 [% X; S+ U1 w  e8 g& ?% j

, b6 }* J) ]2 M9 L1.可以通过修改注册表，将此组件改名，来防止此类木马的危害." G4 u* s0 a/ c, x
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
2 y; M/ s1 U6 d6 {0 f6 ~2 V& ]改名为其它的名字，如：改为FileSystemObject_3800. I$ ^/ e' F( }6 y5 W9 ?8 \5 {* B
自己以后调用的时候使用这个就可以正常调用此组件了.0 E  O  e' K/ W0 Q, C
2.也要将clsid值也改一下
  j! [, I: k4 d7 s8 THKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值* N, B2 G$ @$ X5 U
可以将其删除，来防止此类木马的危害./ Q0 Q" i2 K; X& n1 D: n
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  & I( C; ]& v2 O- ?: X
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
+ S. D9 p: R% e' s$ k4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
0 E1 _6 h) i2 Z- L0 C9 |cacls C:\WINNT\system32\scrrun.dll /e /d guests
5 ^. F9 y9 i) o: t. `$ |

- w9 f% }6 Y( Z' {% z [% B, S+ s
二.使用WScript.Shell组件4 g, ?0 h! {9 x7 P" c# L

' ?& w9 v  E" m
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
9 d: l* M1 B1 ]$ S2 S% \5 _: ?" z$ J( V
HKEY_CLASSES_ROOT\WScript.Shell\- R7 l! ]  z. S  r: S: X. ]) c
及7 ?' E: D7 s8 _( M6 @
HKEY_CLASSES_ROOT\WScript.Shell.1\
4 j" k; L3 C$ m) v6 _7 X& X; E改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
/ W% s6 p- T  ?5 A+ Z0 a3 [9 V自己以后调用的时候使用这个就可以正常调用此组件了
5 S/ m& i' ~! b1 S! b+ ~& a) r( b( Y7 s# w# h4 Q- @- F! ~
2.也要将clsid值也改一下
/ B, b6 L$ F/ L1 ]  M6 y1 k7 WHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值: u; d5 P( D3 q( G. `
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
+ x; R7 y0 t7 Z1 B- r4 r也可以将其删除，来防止此类木马的危害。
% U0 e% h. g+ ~' s, a' D

三.使用Shell.Application组件. Z$ V6 a e# _. n/ q: c) p

/ G% a+ K4 a0 A2 v* N' R1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
' i% d4 h/ j, ^) A  CHKEY_CLASSES_ROOT\Shell.Application\
8 W  Y" U- B: S及
: _9 ?  i& v: p  U# ^4 w- UHKEY_CLASSES_ROOT\Shell.Application.1\
) d# j$ W8 N8 Y5 v1 k6 c/ D7 z: x! v改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName2 k* P# }) ^9 R* ?
自己以后调用的时候使用这个就可以正常调用此组件了3 u9 E" s0 v' p( d9 C5 D4 ~
2.也要将clsid值也改一下
# `) M9 c' N1 E6 R& A# w0 r+ y2 ZHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
( ^* a9 j4 c9 G: OHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
' U3 B( m! q; o8 `; A% ~也可以将其删除，来防止此类木马的危害。7 m$ h  V9 E% |4 e

) ]# `* ]5 z- s9 O$ p* X3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
, L' t. L1 ]- [' k8 z! R; w4 b' ?cacls C:\WINNT\system32\shell32.dll /e /d guests
# [, L" K2 Z9 Y) v8 `+ s

四.调用cmd.exe

2 u* p0 `! _9 w$ Z7 g
禁用Guests组用户调用cmd.exe命令:3 \: ~" T2 n: C
cacls C:\WINNT\system32\Cmd.exe /e /d guests3 W( l: T2 d* H& n

* k& w) @( R4 y+ S
五.其它危险组件处理:: x( Y- Z& J9 R4 F+ r( s0 a/ t; a

2 Y) m4 I8 m, a; v7 V$ Z
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 5 I. m" h# {7 R1 |
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
0 R' P) d( B; F0 d f: AWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)$ ~5 v4 l% y7 a9 K2 Q( d. M8 ~

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
" e& Q B1 a: N
PS:有时间把图加上去，或者作个教程