[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队3 m: h! Q4 f" G- Q; `# O7 R, m' ?
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.# n8 B3 z0 M, Y2 G, A
FileSystemObject组件---对文件进行常规操作.% q; C8 M7 `: t' J/ J4 g% B
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.8 K5 s/ ]) s0 F3 L% L

一.使用FileSystemObject组件" |/ j! @/ {7 c6 M: d, t3 M. A. e5 W0 R

  Y$ }0 u9 }& Y" U0 V) }
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.5 z7 J6 b2 d& I! }( i" b0 L" v
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
* p" u- O, g3 v# |; h* h改名为其它的名字，如：改为FileSystemObject_3800
7 t9 b0 x. ]  J: I自己以后调用的时候使用这个就可以正常调用此组件了.2 Z9 ?6 z" R0 ?0 Y
2.也要将clsid值也改一下
1 }# L+ p  t# n9 ~% tHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
& {- ?5 e1 `' `9 z8 a5 i9 j+ x可以将其删除，来防止此类木马的危害.
2 N* q# f) |* y1 l  E, H3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  2 X+ F2 w! s; m) ?+ B+ f: k2 M
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
( w5 p7 f4 ^3 \- f6 ]4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:, c+ |2 ^7 W5 E& v8 Y, e4 C6 ~
cacls C:\WINNT\system32\scrrun.dll /e /d guests
2 ^7 a: K% @7 ]

6 o/ i% m5 D, G" _2 m" `
& l3 P1 Q0 ^3 N3 M* z
二.使用WScript.Shell组件7 \/ P* Z! L) M2 p0 t

+ k( K# g1 J$ w1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.' r) {$ j7 ^1 D' @

& D! P" i7 P& m) dHKEY_CLASSES_ROOT\WScript.Shell\0 T+ w  |4 v/ D2 G; G1 N0 Q
及7 v5 A+ c- {6 ]7 J9 @* |
HKEY_CLASSES_ROOT\WScript.Shell.1\. E* v2 w' u9 L4 r) b. [) x
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc, M; Y0 E' N. E! f
自己以后调用的时候使用这个就可以正常调用此组件了
" X3 w! N5 y5 x1 }5 _- r# U0 S' M, ?& {( H- a2 x1 V  N1 x
2.也要将clsid值也改一下
$ u! Q, U, K0 x' V: ^) R. hHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
$ V0 H% @  b* A' ^HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值6 }) ^! q( x$ v) B' o$ U
也可以将其删除，来防止此类木马的危害。: V3 e/ ?: l8 k" ^$ O1 Y; B

三.使用Shell.Application组件( E2 y) s- y' S

+ Y! p* c' t. \
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
# @4 t8 m) H. v3 ]' ^, G' xHKEY_CLASSES_ROOT\Shell.Application\+ W- o4 w* S9 y" C- {
及% A, x$ s/ g8 t) Y8 n9 e7 m
HKEY_CLASSES_ROOT\Shell.Application.1\
5 k+ r% n" s% z8 d. }' F改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName/ K. r+ Q8 D/ f; Y
自己以后调用的时候使用这个就可以正常调用此组件了
! l. J" E4 o& _4 j, ?2.也要将clsid值也改一下: W8 E# V7 [: _% {
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
6 b; ]& c( f, ?; UHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
1 K9 f. @" S+ D" m" n& x也可以将其删除，来防止此类木马的危害。5 [% C6 X# l& c( z, j
6 V8 y9 C" Q" a
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
+ o5 b$ | \8 hcacls C:\WINNT\system32\shell32.dll /e /d guests
# u* h, i; I, |9 i. v( s; L

5 s# s; N% o! F- N, e
四.调用cmd.exe1 P! K) J" f4 }( ^# A& b

8 D, |5 a( I+ p3 _! F2 s
禁用Guests组用户调用cmd.exe命令:
. C, y) ]6 P3 i" m, e0 u$ O; dcacls C:\WINNT\system32\Cmd.exe /e /d guests
1 V$ j9 F0 `* o! \4 f r

9 P. k6 q, T, G9 `8 h1 {
" X. G# u7 o% M" v% ]
五.其它危险组件处理:

* [2 K7 P/ p! m: p7 `Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 8 |! A' i: E8 g( |" _: _
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
6 W7 G* G$ f+ b: sWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)+ G1 P6 W; T7 b5 V8 G

8 \" ^7 X. x8 w# A5 j5 R% K

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
. b% y4 c) j3 L8 M; m
PS:有时间把图加上去，或者作个教程