[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

; K' V' d n% F4 F5 z$ |1 n0 @
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)% H" I4 f" U: q9 ^0 [3 L( R
信息来源：3.A.S.T网络安全技术团队+ [ a3 z L& F) [* |3 R
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.) G1 _# k) J; ]" H$ x- j
WScript.Shell组件---可以调用系统内核运行DOS基本命令.5 s, L7 T/ N: c
Shell.Application组件--可以调用系统内核运行DOS基本命令.4 q9 v+ g3 Q. L3 o5 y3 ?

一.使用FileSystemObject组件: c$ Y$ W- S3 X. B8 i2 E; S

: ^2 j3 F. B7 h0 i
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.5 X- I: m4 H% r4 E
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
5 I2 b4 C; X( {! z% I' _改名为其它的名字，如：改为FileSystemObject_3800
  E. P% z/ o; K, Z* }$ s% {9 r1 C0 x自己以后调用的时候使用这个就可以正常调用此组件了.
5 S5 I2 w+ j5 o* G3 T2.也要将clsid值也改一下1 i( L) S# _2 o; U/ b$ ~4 Q7 J
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值0 w" c/ N: B* \$ I+ B5 {
可以将其删除，来防止此类木马的危害.
/ G2 ~9 P+ i, \6 U8 R- p# Q# X1 R3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
, Y  J0 A# e$ i8 q8 E# _如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
9 q) w$ {0 g8 s4 _4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
' |, `# C9 H) Icacls C:\WINNT\system32\scrrun.dll /e /d guests
# Z0 w$ D5 G; e, U/ \

) I8 b9 O8 n f8 K3 ^) x& e
二.使用WScript.Shell组件( y/ B, T' L. E+ v& M. X

; K. A! n7 L+ U6 J. X3 s6 f2 }
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.0 ? l+ F5 @* ]* Y. Y7 e' p5 |
1 [$ Z# n8 i1 \8 W8 }* _7 R3 o. |
HKEY_CLASSES_ROOT\WScript.Shell\
/ I1 Q) K* Q: O" A+ D) b3 ?及7 d6 Z6 c( @# V1 F7 w( N
HKEY_CLASSES_ROOT\WScript.Shell.1\
& c- H5 ^ S0 |) ^改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc2 V8 Y. C! f% J, K# W7 C; K; K0 S
自己以后调用的时候使用这个就可以正常调用此组件了
% d# B, k! K3 R0 I8 w
$ o2 [1 n$ a8 {# {# W; j2.也要将clsid值也改一下
$ p# L3 e3 k+ z) l- b3 r) UHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
% R# V) m6 j6 ^) ^% [4 T! f, X- ~/ k! PHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
7 Y: c$ V9 C; E- I8 J/ Y. G0 O' |也可以将其删除，来防止此类木马的危害。
. U# _& a, d' A' z, m) z6 i

三.使用Shell.Application组件) n& j) w7 O% W

0 n% a! Z& O0 {) n$ J
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
8 h3 G( ~' m9 @9 j7 B* v0 k1 o8 KHKEY_CLASSES_ROOT\Shell.Application\9 @! C8 d+ `, W# ~9 v2 J
及' T* q- d( [2 `+ ]7 R- k9 T/ ^
HKEY_CLASSES_ROOT\Shell.Application.1\! Z: U: v& ?7 L; ], L
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
8 U2 K9 s2 k9 m9 M" z自己以后调用的时候使用这个就可以正常调用此组件了
N/ L- j' Y0 D* D, g) \2.也要将clsid值也改一下3 ?# H- I" B+ r/ Z( M
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
* Y5 }/ L- j+ z" V4 ~HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值1 _& n) @6 e2 f9 S: b
也可以将其删除，来防止此类木马的危害。$ o' b9 V1 ~* L4 F0 w: _6 f

8 n" P6 X8 C' r( [' j1 c! `2 `3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
5 `, |: ~- @0 f8 |" q3 X4 b$ ncacls C:\WINNT\system32\shell32.dll /e /d guests9 [$ T) y1 J% g0 |8 D) l8 P7 ~$ S

- F% I( O& c* c( g: F
四.调用cmd.exe

# K5 r- [% q& t6 q4 I禁用Guests组用户调用cmd.exe命令:- B! ~# @/ ?( @& R9 x) @8 X& b
cacls C:\WINNT\system32\Cmd.exe /e /d guests
* z( }! X$ g1 w9 S: \. C( F

0 s5 }* v: e, [

五.其它危险组件处理:' p2 Q0 E4 Q K: ^

: ~, N6 R& i: Y4 ~8 `; ~( KAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
: E, Q' ?- D' T" [1 K& x' v+ v9 |WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)8 v* v2 m) ^* k; r; B
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
: A: t4 A! R; p( y4 j

; X, @0 a" ~; v+ g4 n; K; d
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程