[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

* K* B+ J1 G6 h7 j
( L: B6 x6 J. _( f/ ^8 z, g
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队* }6 G7 E! ]( M+ ?1 v9 b3 L
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.2 G% ?' G L: p2 K
0 x4 O* X7 Y$ A5 _- v
一.使用FileSystemObject组件

/ S0 h1 \5 n) G' t( Z1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.( ?) z7 C* a0 C% a+ l
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
0 ?. L3 d! R1 |8 I  n改名为其它的名字，如：改为FileSystemObject_3800
1 @4 ]6 r2 t5 i自己以后调用的时候使用这个就可以正常调用此组件了.
% s, h( V  Y9 \7 g2.也要将clsid值也改一下, m' N9 f1 T# k" r2 ^
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值5 b$ x0 r7 v& Y, K
可以将其删除，来防止此类木马的危害.2 ^& u7 E5 [+ G5 j7 e. }8 v
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
! g1 C" m$ Z1 x' B9 J. m5 O如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件5 @' f! b% e" Y6 }( o& q2 N) n
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:4 A7 H: o  x1 \4 x7 I
cacls C:\WINNT\system32\scrrun.dll /e /d guests* s, v' P% y" t$ ]! g

5 ?/ ]6 t6 p1 Q" \, u N, T

二.使用WScript.Shell组件" U. J+ T' Q( F+ M

" Y8 [, b% Y7 D! f# w" q1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
# \0 o$ J7 b0 x' `( D% m) t: |) d: Z+ P& {( D3 Y. [; `6 b
HKEY_CLASSES_ROOT\WScript.Shell\  p3 C; k9 u2 f% {. R4 x: Q
及3 z# x1 C6 [& r$ Q9 @1 u( K
HKEY_CLASSES_ROOT\WScript.Shell.1\
6 U/ t% z! f0 w7 R改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc% C0 t0 a# t8 t7 p2 q' d
自己以后调用的时候使用这个就可以正常调用此组件了
6 p3 ~, t2 ^) {
# c# H! x$ J- Y7 G2.也要将clsid值也改一下
. I  |, \3 v( e- gHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
) l1 p5 G5 d( H/ LHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值  A" a) m; N8 x1 O2 l- \, t
也可以将其删除，来防止此类木马的危害。
: ]7 G8 _7 X- l3 G( L3 `( X4 J: o

6 G! U5 e L' M! I' c3 D
三.使用Shell.Application组件: [2 x# s, y2 u1 v

( R9 A' y9 _. h. k& Y1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。. |4 A: S$ ~3 [" r
HKEY_CLASSES_ROOT\Shell.Application\" y- P  C  J9 A9 p" S8 T& \
及8 v% n" D; ?% p0 s6 U+ }+ _# l
HKEY_CLASSES_ROOT\Shell.Application.1\2 _5 B- r' D; U! c5 S% H
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
( f) p3 ^- W6 Z9 S. D自己以后调用的时候使用这个就可以正常调用此组件了" w6 e' ?) f% Z- _5 y
2.也要将clsid值也改一下
0 c9 z4 ~: O0 ]3 `" qHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
: B  [/ N; ~* xHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
" c) D( U) ?6 F: r. m也可以将其删除，来防止此类木马的危害。: f$ _" `. S4 s) f

" \' q! v- B( _5 U0 A  H3.禁止Guest用户使用shell32.dll来防止调用此组件命令:* n+ [+ V: B5 z3 b
cacls C:\WINNT\system32\shell32.dll /e /d guests
( x* Q! `! ]& B

; X8 M* l& Z* x1 L. w
四.调用cmd.exe# f. h4 H/ q* G- e; _6 ?/ L9 _0 J

: U6 ~+ q5 E6 l8 ~禁用Guests组用户调用cmd.exe命令:
* g; z$ i8 {7 z9 \cacls C:\WINNT\system32\Cmd.exe /e /d guests
2 ^1 y0 ~" w% [# K5 ~

- }6 o2 C: |. p {& P9 v9 ?1 J
" M; ~, |. v( k$ A; m3 _' j: ~
五.其它危险组件处理:

" V. w7 n! u, X& F$ k9 zAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
0 l( L4 B8 E0 W$ OWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
, s! x( @3 l5 Q8 P1 r1 |WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
! c$ K. k6 U# o8 ~0 w) k& k( G

' ^- N* t) t! j$ N% _& W

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
$ r V/ s; ^1 ~' B( j o( B8 D
PS:有时间把图加上去，或者作个教程