[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

, i- _9 H% A( n6 |( E' K' L( t9 n

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)% ?% r/ Z$ |) `7 A5 n$ L: b& c
信息来源：3.A.S.T网络安全技术团队. @5 V' {+ P; Z, S4 C9 Z' a" M* z
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击." v4 N, L. _' e: f( b9 \6 V
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令. P0 _& [/ z# o# b8 y8 }9 V6 }
Shell.Application组件--可以调用系统内核运行DOS基本命令.. w" a- i, [* B
: t7 K! n" B8 N5 I
一.使用FileSystemObject组件* ~. Y: |0 _3 X3 o" Q' K

6 B1 k9 i; i+ C8 N: y
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
- x1 y+ q4 I/ ]8 k6 ZHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
/ {) ]9 a; y8 [) {5 c' W. ~0 }4 T, U改名为其它的名字，如：改为FileSystemObject_38001 Z8 W$ ?; n9 L/ R. I  i( \4 ~
自己以后调用的时候使用这个就可以正常调用此组件了.) g- _5 P2 [2 N' ?. R5 \1 Q
2.也要将clsid值也改一下
9 Z1 i1 m1 U; E/ p/ p; t2 H1 U* JHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值. X6 z& i9 C& K3 z
可以将其删除，来防止此类木马的危害.8 @" U; G) @7 N5 D2 y$ P
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  0 j( {# v( X/ s. R7 d
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
% _/ ^3 i! A6 D. G4 i( x# b  N. I! L4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
. n2 ^6 S% v! G, A9 Xcacls C:\WINNT\system32\scrrun.dll /e /d guests
. E. X4 N: O7 X) Y: z- d0 q

$ h: k% s# _' W3 q" n% I( A0 w

二.使用WScript.Shell组件

4 `+ V  b1 ?% V% T  o/ X8 X1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.- ]; d# B+ l9 H+ o

! ~# H2 c6 V' c; N: H: ^# BHKEY_CLASSES_ROOT\WScript.Shell\
( @: h2 w' x2 v0 S" G  Z" q及! S2 m9 n+ |( q% Y# S( E
HKEY_CLASSES_ROOT\WScript.Shell.1\
( }( D- \9 @3 ], d改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc7 [( c  L8 t; c0 k
自己以后调用的时候使用这个就可以正常调用此组件了
. ?3 @. |8 e$ N! D
% u1 g. W, {$ R% a/ {; p% [2.也要将clsid值也改一下% n6 k% A2 Q  z9 u
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值. `, w$ t4 D" b8 V" n9 C, |: @
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
9 T& k& I3 A' F. z  y3 t6 ]也可以将其删除，来防止此类木马的危害。
9 N3 \$ J2 d9 G, z2 E

2 ]" U4 N* q6 z/ V; A
三.使用Shell.Application组件

# x! r' f  F; P7 `1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。  i. v/ B; I) k/ `% p$ X' a9 Y# i
HKEY_CLASSES_ROOT\Shell.Application\8 [2 i; l- F/ @( ~' G; x
及
, M; n( ^# p+ u# wHKEY_CLASSES_ROOT\Shell.Application.1\
8 G. J' |4 J1 s+ F改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
1 B/ b7 D+ z9 @1 D自己以后调用的时候使用这个就可以正常调用此组件了/ s* W8 m  J1 m* N% l: `
2.也要将clsid值也改一下
' E" G3 B3 B) [' {HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
7 H* x3 e! W& x& X3 W6 K/ X/ q2 KHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
; ?7 g7 Y2 p3 x- L( ~- g  Z也可以将其删除，来防止此类木马的危害。* H7 b# e2 c: `1 k  K+ a

. {! A, H. U/ Y0 v+ Z) B7 G3.禁止Guest用户使用shell32.dll来防止调用此组件命令:5 b! j  e* u' P  D+ l
cacls C:\WINNT\system32\shell32.dll /e /d guests
3 }$ V; b4 d2 d2 ~5 u& q

6 h9 R4 m" i5 z
四.调用cmd.exe

/ B! `9 g: c% `$ T6 v) T禁用Guests组用户调用cmd.exe命令:: _/ e) }8 x7 |! x0 z
cacls C:\WINNT\system32\Cmd.exe /e /d guests6 J: ~, P" t7 k7 r

3 D& j9 v! f% j, t+ a! [" b, L

五.其它危险组件处理:, G% s! t$ o6 r0 u( H8 I

6 j1 K# R) L4 r0 X5 b0 @# ?0 K+ X
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) : O& I6 Z' J: @: K
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
7 u, N7 R" O5 D2 V; L- cWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
8 i+ W! v0 \; b1 h5 b: |. p/ q. S

) {- H0 K9 J) E/ d+ a

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
9 \5 a+ p, j6 W$ l& I
PS:有时间把图加上去，或者作个教程