[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队4 j1 Q; n& Z+ X
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.# F, x: ~9 j2 Q
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.) k: S8 M) n, W' o0 ]
Shell.Application组件--可以调用系统内核运行DOS基本命令.! W( t, N; `0 \5 O4 E. x' A

一.使用FileSystemObject组件8 ]8 f9 Q+ R9 W" w# ?) \

4 _( I) e  r- M" j+ C/ U
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
- y* j9 K: t) C  s# EHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
" t3 _3 g* g( Z- M: Y- C" c$ n改名为其它的名字，如：改为FileSystemObject_3800. I9 w0 R& O3 \5 n
自己以后调用的时候使用这个就可以正常调用此组件了.
% q; A- p8 x9 H. I( a( [2.也要将clsid值也改一下$ E, u. T: j  Q8 X% a6 f5 e+ n% ~
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
3 l. S& m' M* z- d# _7 d可以将其删除，来防止此类木马的危害.
3 w- C' W" Y+ z8 y! D6 o/ L: P3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
! u7 R: K* w' X2 s# J2 Y, i+ R如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
8 [# H2 [& c( w4 H- m4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
: _) o2 h2 }( U5 Ecacls C:\WINNT\system32\scrrun.dll /e /d guests
; ~8 A% Z& ^: i7 i1 n0 |

6 S* `# z) g( }( y/ h
; W8 C) l7 w& L: e* i& y- n
二.使用WScript.Shell组件

" D) g6 @' k( h3 d* V% X
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
, R$ @7 h: ?$ e# X" }. ?! Z) K G6 e0 W% X2 e+ B) v- Y
HKEY_CLASSES_ROOT\WScript.Shell\ ]. l3 F8 d6 D+ j
及( H2 q" _/ b7 W, a+ ?" Y
HKEY_CLASSES_ROOT\WScript.Shell.1\" P6 Q) }. |& [' B& w1 V; t
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc% Z/ Q) m# ]; G0 {% q3 P
自己以后调用的时候使用这个就可以正常调用此组件了
. w/ E; X3 S) v) s) {/ L. [; B5 R8 n7 h6 O, b4 U# a
2.也要将clsid值也改一下& o2 v/ J! H: _
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值$ ^5 d6 C: X+ F
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值% \3 j) k5 z; d+ D+ i( t
也可以将其删除，来防止此类木马的危害。9 H3 S0 K8 `" q0 D' ]! h

三.使用Shell.Application组件- R9 }; X( ^& K0 }% O7 ]

) |; R: e1 f* m7 `1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
/ m, X9 ^. ^; BHKEY_CLASSES_ROOT\Shell.Application\
: M  o# a6 s4 j及
- @( v2 y9 f" M. ^8 T5 j0 |* q! zHKEY_CLASSES_ROOT\Shell.Application.1\9 R2 `( L0 j) k& Y6 H3 l3 k  P: K
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
7 [7 D% {7 K) V/ ]自己以后调用的时候使用这个就可以正常调用此组件了" v/ u. R( v, ~+ a/ C
2.也要将clsid值也改一下
" l1 N  y. m7 t% m/ M& }HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
, b/ F- D5 V3 W6 p- SHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
0 u4 V  g( `% x4 y也可以将其删除，来防止此类木马的危害。+ W4 {! [0 l# S, W* S; J

  F& F# Q$ E- d- l7 T9 [# f/ Q+ o3.禁止Guest用户使用shell32.dll来防止调用此组件命令:0 P. [* r# ]3 n" l' w% B3 c6 D. P6 b
cacls C:\WINNT\system32\shell32.dll /e /d guests2 V$ F! x& C; _5 C* B& q* O

3 R# ^( J. z* H4 i$ P
四.调用cmd.exe

+ [' d$ w5 g, B! \3 w+ m2 D, Z4 G禁用Guests组用户调用cmd.exe命令:+ q, N& D" ^* F6 K; j0 S8 N
cacls C:\WINNT\system32\Cmd.exe /e /d guests
( f/ b2 Y1 @% a" G

+ d1 \' T# q: n& Z( r8 Q

五.其它危险组件处理:

' ]2 J& i+ M2 F: F9 j* m
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
j8 i r5 {: W. G8 j cWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
3 `- R# ^' i$ S# E; i# s) Q. PWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)* M/ j6 J/ r$ K

, [8 A/ e4 m+ |, H6 x7 @2 F
2 ~; Y- M0 j7 S6 d
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.' m4 ^0 V' T5 `! ?# N

PS:有时间把图加上去，或者作个教程