[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

0 }" Y( g0 V5 s! R

原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.9 [2 Y2 y( b( b* I" M' b1 k+ `3 N8 j
WScript.Shell组件---可以调用系统内核运行DOS基本命令.+ X% b8 _* |. P! y9 ^
Shell.Application组件--可以调用系统内核运行DOS基本命令.# C1 S7 M. Z, L/ @, N; ]

一.使用FileSystemObject组件1 R A+ f: d, n# D. z

4 E% s4 ?4 c' v% M  u6 t% p
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.5 q9 o  |; `; }' [
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\9 J+ ]2 y) b2 u/ a7 L
改名为其它的名字，如：改为FileSystemObject_3800/ m% |3 [$ V) \6 |9 H
自己以后调用的时候使用这个就可以正常调用此组件了.
7 h! l% W4 P) N! o* G, ^2.也要将clsid值也改一下
: c* h: \* u* W- y, m! f  q% pHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值6 b- K2 q' ]4 p$ j
可以将其删除，来防止此类木马的危害.; F2 V" q% R; p
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  & _& k2 ]7 }% l8 h0 o* u
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件9 X* u" b& B  c' i' C3 X4 v5 X& q
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
/ E* q# [1 o1 a' Ccacls C:\WINNT\system32\scrrun.dll /e /d guests
5 b9 o0 E. p. W( N# n1 d* [9 k

+ x; R( A G8 f1 E4 m
0 t t6 C) R( _
二.使用WScript.Shell组件

* M0 h1 H7 l! U+ W) }. W, T1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.* M1 M- R' f6 F) s

. ^8 h1 b# p& Y( g# v8 JHKEY_CLASSES_ROOT\WScript.Shell\
. {3 ]1 ]3 }+ C! y5 ^* C% v) P及
( `$ D P- X8 h. u8 Y5 u0 z% {3 fHKEY_CLASSES_ROOT\WScript.Shell.1\
! f9 }9 Q! P2 C0 g1 I改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc& `/ {' s! ], D# }$ }
自己以后调用的时候使用这个就可以正常调用此组件了$ \* j0 D4 p- F- c6 c

5 p' E+ P. i; p. V5 p2.也要将clsid值也改一下
1 R+ F! q( f, nHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
5 c$ r, E9 n- ^: i2 Q5 jHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值6 e! Z# y3 S3 o7 z
也可以将其删除，来防止此类木马的危害。
: N0 H# x l. r, C: @+ X

三.使用Shell.Application组件( O5 j% a% Y4 j5 a6 ] \ k4 x

4 V6 R3 J3 q/ y
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
7 q( q8 `+ f6 \1 j" jHKEY_CLASSES_ROOT\Shell.Application\. X3 {5 [$ [! F) I( a" `
及
$ f- w- B& S7 YHKEY_CLASSES_ROOT\Shell.Application.1\" I! L* g5 p1 H( A5 q" |5 u
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
& B6 p5 w# O4 Q. U自己以后调用的时候使用这个就可以正常调用此组件了
/ P0 J! A5 }9 e4 U0 W# P' D2.也要将clsid值也改一下9 k6 t/ k0 F2 H2 Y0 p+ q  I2 D) a/ H9 i
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
+ O) i; j" Z7 n# {8 HHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值5 J: Q5 b9 e8 n: g! p
也可以将其删除，来防止此类木马的危害。" ^, |  _" q+ n4 `* C
9 z; d  }. q# U- S8 u4 u5 _! q
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:% u# u* F; _2 Y6 b2 [
cacls C:\WINNT\system32\shell32.dll /e /d guests
: H/ D8 \4 s' d3 Q

四.调用cmd.exe4 Q8 q7 v! e* N8 \( M

6 x( ]: s2 @8 t1 s禁用Guests组用户调用cmd.exe命令:8 m( O3 l! a3 ^+ R( H
cacls C:\WINNT\system32\Cmd.exe /e /d guests
, ~4 M# ]! n; m5 g3 U

五.其它危险组件处理:

0 b# v) a- b8 K! J u" s i7 NAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
! R4 Z; j" D% y* K$ FWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)) H% Y" n5 O9 s0 P. q7 q
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)8 _6 z) S; g7 E6 c% ~

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
8 I* |! I7 }2 u1 U
PS:有时间把图加上去，或者作个教程