[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

/ X) I: C; q# I8 Y

5 v5 W3 L: m  Y& a. d+ a5 n原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)# L1 i9 A& G7 V* m- o3 d: {* U
信息来源：3.A.S.T网络安全技术团队
" Z# A1 p5 ?$ R" C防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
; Y  H# m6 c2 V9 K) D  V7 U; z; |FileSystemObject组件---对文件进行常规操作.6 P! |4 ]4 z/ G- i, \- A! Y
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
, f+ l3 m# v+ ~4 F& d4 {. }Shell.Application组件--可以调用系统内核运行DOS基本命令.& x6 \4 F3 e5 l0 \5 W' H1 W7 S8 J2 o6 F

& v; W' c) [6 I- f  i一.使用FileSystemObject组件
3 ]* |) }8 \5 w6 Z7 t& @+ ]

5 A& s! Z* G8 g; X
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
6 \/ x% }/ A* |  i3 l9 zHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
0 a/ I) T' \- V& [改名为其它的名字，如：改为FileSystemObject_3800
+ u  P& u! i+ K! A自己以后调用的时候使用这个就可以正常调用此组件了.: b& B0 _1 W3 Y4 T2 n$ ~  z$ [
2.也要将clsid值也改一下
- o/ R. A; F9 O: \/ S1 nHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
  h: n% k0 d7 r0 ]. a. ?  e1 C. {可以将其删除，来防止此类木马的危害.
$ m7 ?5 P. g4 \  i  H* m3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  / e# a/ |. ^- x0 m
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
5 y6 H" [; z. Q9 d& `0 c8 J  i* J' J4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
' K* S2 N5 y- `* m5 G6 F+ P, I) b7 ^cacls C:\WINNT\system32\scrrun.dll /e /d guests
3 _# t1 s' Y& M/ E

; s4 D- @; f) q  v( n
1 k9 q' B2 J, x5 I
二.使用WScript.Shell组件% s4 O/ C. g; i4 B) X+ a

/ x& Y, G8 R8 p& \) c1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.% o3 x' k1 I) ]. H

& l0 A: e( a  b0 Z5 kHKEY_CLASSES_ROOT\WScript.Shell\
3 G( N/ b' |$ [$ I及2 `, L3 J9 R+ H7 @5 [! W* i4 S( Q
HKEY_CLASSES_ROOT\WScript.Shell.1\9 s  G. y) X/ x4 k) h
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
  t* D* `4 j0 I" A( V: |2 ~自己以后调用的时候使用这个就可以正常调用此组件了# `" s- M/ a/ R+ d

& Q- J2 f( ^) Y$ r2 U1 ^2.也要将clsid值也改一下; g9 q0 F6 x% \5 g8 h( ^0 x
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
$ ~( D5 n+ x( l3 d3 |' q: ZHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
' e0 x5 \* `' l" a" w- f* D也可以将其删除，来防止此类木马的危害。! S& S4 q' Z. J/ `4 [

( |4 ~% O  f2 @
三.使用Shell.Application组件$ x  H. O3 i& x! P+ X% p% ?

6 ^9 @! h; n8 [  f* |' }' e1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
2 N( w! G  C8 z5 gHKEY_CLASSES_ROOT\Shell.Application\
  w" g  g7 O3 v9 P' i及* z" c  ^2 P. F. T# g9 N: g
HKEY_CLASSES_ROOT\Shell.Application.1\3 ]" o1 v. ^  D. {
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName. c6 g: S  D1 `0 n2 ?1 |
自己以后调用的时候使用这个就可以正常调用此组件了
' C' R1 g4 M9 |: W5 ~; B2.也要将clsid值也改一下4 s% T! G! ~( m3 r3 u7 B* A
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
8 o$ C3 [$ j9 g/ v8 _HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值1 H8 e$ [4 B( ?' [1 m. _+ F
也可以将其删除，来防止此类木马的危害。  [3 h7 ~5 J+ I$ z+ i. ?

/ y: q5 @. y! q- ]3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
/ @0 B$ O# _( t: V5 Y7 o* ocacls C:\WINNT\system32\shell32.dll /e /d guests
* O# C3 b( o6 `. f% B5 b" ]

$ e4 Z8 Y$ J3 |" C6 ?" E
四.调用cmd.exe% t" G4 L4 Q2 V( k

3 {- }/ x5 y- V* V禁用Guests组用户调用cmd.exe命令:
' d$ G0 Z# H2 E" \4 Ycacls C:\WINNT\system32\Cmd.exe /e /d guests
; [- r/ \( m, n& Y( t0 I9 i

$ b& s  X* O# s+ O2 _

$ o& P! ?: n: ~$ V6 g五.其它危险组件处理:9 f8 p4 H% }! _, |7 w# l; m" Q9 U4 _

  `- Z6 s, E" x, GAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
  a' W, ]3 n+ T& GWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)& i( ^' S; L- G
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
5 q* k  x$ Z  }9 I7 i* {% `

7 B% }3 O0 ?$ s) m# U
; o5 @# K0 X" m; c7 E2 M. i; L按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.! K* [+ P; x; @
, v4 W1 I, W7 `8 }2 n9 d5 r
PS:有时间把图加上去，或者作个教程

在意z

谢谢楼主分享技术。。

小雄

发点图比较容易吸收。。:lol    不过这样也行。

paomo86

学习了……:D

猪猪

哦 学习了  知己知彼方能。。。。:)

saitojie

有控发点图上来对比下

柔肠寸断

我本机测试了下
; [7 D* [# S/ _8 |6 P% d' v! m
1 O8 Y- d7 D% X2 s' P如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！