[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

9 e) Y7 s" }+ \
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队+ |' M4 V2 s5 z, A' k7 \
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.$ t; j/ x6 `9 Z: \) ^# w
FileSystemObject组件---对文件进行常规操作. X$ K [ j/ d( I' A4 W% I
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.
8 m: E. m% J; G
一.使用FileSystemObject组件

0 M3 \' A4 y+ E4 b8 v
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
: X, U% a* G* r* k8 X/ XHKEY_CLASSES_ROOT\Scripting.FileSystemObject\
* ]7 B* e+ `+ d7 t7 t6 o  y! U改名为其它的名字，如：改为FileSystemObject_3800
( N# d5 V  C7 D# \3 F5 f6 Q自己以后调用的时候使用这个就可以正常调用此组件了.
2 O: b3 q' y- r3 o, V2.也要将clsid值也改一下6 |- u" o: ^9 h
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值; U# B+ u- Q% Y  g: d: a& B/ n
可以将其删除，来防止此类木马的危害.( _+ Q3 Y! Z6 W( P: m. \
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
/ N# D  o- X6 G8 D. p' L  Y如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件7 A0 [  K' k. w: d( T: `
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
" Z6 u6 I- Y- o% @# m. o7 {6 xcacls C:\WINNT\system32\scrrun.dll /e /d guests
% p5 G5 D0 e! ~* z, w. ], x

8 t+ y( o8 M/ ]2 g9 C$ {+ D; N

二.使用WScript.Shell组件

9 @1 G4 y; m9 {1 _. C1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.7 E# X; W* L: k
, h5 `' I* y6 z- J4 e
HKEY_CLASSES_ROOT\WScript.Shell\. o, w+ D2 o) n$ B$ E3 L( |7 h
及
1 _7 a9 \  F( G: a, D/ ?HKEY_CLASSES_ROOT\WScript.Shell.1\
, y8 x+ j# s3 I$ m/ P) s+ z) J- n改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc" T5 d, D: {, i! ~
自己以后调用的时候使用这个就可以正常调用此组件了' L+ y) c* V/ \3 b

: X0 }2 g- F0 z  N2.也要将clsid值也改一下3 K9 e1 e: j7 S6 g0 c9 }3 U
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
4 u' S/ D: B8 ]0 o+ Y" mHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值4 ?" w/ l8 _1 V  Z2 I% l4 b
也可以将其删除，来防止此类木马的危害。$ N4 o  y  V' D: G$ z

三.使用Shell.Application组件, X1 f1 y9 o8 a6 `5 `5 H( z

' f" u& q) Q2 j; C3 l/ z
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。5 [$ y6 F" l' T( R# ]* _
HKEY_CLASSES_ROOT\Shell.Application\
9 ?1 ~) f* P/ v+ [9 D及
5 R# B7 J/ U- j* j. ]% E, JHKEY_CLASSES_ROOT\Shell.Application.1\
7 \$ x8 [2 k' m: k$ ~改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName9 |& |! k7 i! }7 j1 }% {
自己以后调用的时候使用这个就可以正常调用此组件了! E& d6 s! Z2 ?" {
2.也要将clsid值也改一下) {% a$ f0 s7 @; i/ ~0 \: g7 s
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
# \) F7 I/ K: O$ ^5 y; ^HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
& R& G8 i/ |, j' W也可以将其删除，来防止此类木马的危害。6 f4 m$ o9 Z% c! c

( m. Z/ h& u0 g. j8 O3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
$ U( \. i& [1 f2 gcacls C:\WINNT\system32\shell32.dll /e /d guests# X4 d; F5 v) X1 T. m

7 [2 |6 [9 R, }2 x y& q
四.调用cmd.exe+ b/ ] [, y: [' {

8 h; I$ O6 `1 N. F禁用Guests组用户调用cmd.exe命令:
2 D0 y& u+ H4 T# A. N" Lcacls C:\WINNT\system32\Cmd.exe /e /d guests
$ u8 Z. U# a$ [, C

, W7 ` p4 ?3 A9 V' G4 e2 Q

五.其它危险组件处理:

- |3 w: {: H, [5 }7 {Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 6 @3 b% k+ {& l. u7 I4 c5 b
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)# H: I) P7 | k. N! U$ N
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
; L& ]8 H. [ f# H$ y0 ^6 N

a9 N2 @3 ]# Y2 W
, L# t D8 U- ~7 H
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
7 v6 v- A$ f. p6 w
PS:有时间把图加上去，或者作个教程