[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

  J" f8 k* R- d3 b- I+ ]
; n0 N) \2 e- A) ?" e' ^5 c( D
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队0 J9 u* H- ?% u2 `2 C( H
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.  y. _7 `- R7 J3 Z# d* C$ W
FileSystemObject组件---对文件进行常规操作.) v  J3 e) [% v$ ?
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.3 j! X+ ]1 b& V1 y# L

一.使用FileSystemObject组件/ `* k8 u. }8 @% [% S

. A5 Z" Z, p3 X/ R! ]7 T% p5 \
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
6 X( P% G0 r! b t3 R+ B( PHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
- B" k# n4 p" h# q改名为其它的名字，如：改为FileSystemObject_3800( \. Z: U% s" y2 g! e% r# }6 u
自己以后调用的时候使用这个就可以正常调用此组件了.
' k" V! x3 J' r- n- z% O2 o) I2.也要将clsid值也改一下
# }$ ~/ e8 b$ tHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值, c. V9 a0 x% M& g* n6 X0 _. b8 v" x% m
可以将其删除，来防止此类木马的危害.
; A/ V( U' Y& \: m3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll # D% r$ O6 v) r5 e
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件/ S& B- @+ Q# x4 w; h
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:) F' h) m( b: S3 M. B, B/ T9 l
cacls C:\WINNT\system32\scrrun.dll /e /d guests
* j8 U8 h- ~7 j- L' f! x8 H

二.使用WScript.Shell组件1 L. g6 W7 f8 t# |" w; v9 [& Z Z+ p

- J, z$ x6 p; m1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
+ c/ E* f' f+ g; k9 i, s! ^, ]) \& t+ B$ s* J  w7 _
HKEY_CLASSES_ROOT\WScript.Shell\% y1 l' L4 S* ^4 H9 R" g
及
- z/ `& K. |9 lHKEY_CLASSES_ROOT\WScript.Shell.1\9 E6 i) v: R" D; [
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc" M6 J. p  Z; F+ a. h
自己以后调用的时候使用这个就可以正常调用此组件了
2 b, o9 u& p' ^- a2 [. q" }% g, C8 ^+ m8 E9 E1 j
2.也要将clsid值也改一下& \6 i, _$ [1 T" q
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值9 s9 a2 j/ Y+ t# D
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值: T+ |) J/ I  D0 T/ g# t8 f5 L
也可以将其删除，来防止此类木马的危害。
6 p: Y+ w" h1 g( q

. e( A4 K0 S( F1 _. D; q# }
三.使用Shell.Application组件

2 h8 O! D$ i0 C/ Z  _/ p/ Q$ k/ T7 U# U
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
7 p- P; C' o4 SHKEY_CLASSES_ROOT\Shell.Application\- s5 t! q( Y- d/ ?( w3 f
及
, x% |# I! ~; e. H! F- NHKEY_CLASSES_ROOT\Shell.Application.1\
# o- V) ^, K9 s3 l7 J' j5 w; j) g改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName8 b$ }: t5 Q; i1 E6 t1 b
自己以后调用的时候使用这个就可以正常调用此组件了% {. H+ c6 Y8 U# S) j" a5 }
2.也要将clsid值也改一下0 J: }1 g! B" e
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值6 d. h) [! f, }  a: A1 b
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
( {* _7 J" e5 Y$ ]5 E也可以将其删除，来防止此类木马的危害。" k& ?9 x9 G# \9 N) z; T) F
* c( a$ ?" k2 H
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
: Z5 @* ^5 J( V. m5 B' j1 ]  e, vcacls C:\WINNT\system32\shell32.dll /e /d guests
# Y, N0 ^* \2 H3 r3 b

四.调用cmd.exe

6 D7 R7 |$ p* R# ]4 P& A$ s禁用Guests组用户调用cmd.exe命令:- M r# B9 J5 T$ @
cacls C:\WINNT\system32\Cmd.exe /e /d guests

" X! f# U2 y4 ?1 q
五.其它危险组件处理:

& ]: G8 S' w+ q' v- E' KAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
: ~# X8 J: n0 \' l, b. }WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)6 V/ W4 x0 n# O( f$ d* X# r4 ]
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
& W# p& [8 c7 \+ Y

$ \& P- t4 v2 R E5 L4 p7 I

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.. f. i5 Q; S3 J) E

PS:有时间把图加上去，或者作个教程