[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

6 e$ w& R: o( L+ }$ a* {
; o& I; L z3 ]3 [0 ~
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)! ?" k+ [, s, d7 [
信息来源：3.A.S.T网络安全技术团队% E) y2 p. I8 ~0 g' v
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.5 ^$ X, E, ]" W1 w, X, s
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.* D1 ?% |% N5 `: ~& @
; p" o& B/ g8 Q6 Z6 g( O
一.使用FileSystemObject组件) R9 w; H5 t" `- ~

0 i, s& A, }( \8 O
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
2 Q$ N$ q$ X: k& \1 x3 N) vHKEY_CLASSES_ROOT\Scripting.FileSystemObject\) _# C) ~2 L' ]/ q' [" A
改名为其它的名字，如：改为FileSystemObject_3800
+ f$ Q* k0 Z$ ]3 ^! |& E自己以后调用的时候使用这个就可以正常调用此组件了.7 j1 Y4 l3 k% W6 O  G
2.也要将clsid值也改一下
! A0 ^: b7 O9 h1 eHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
0 @0 K( y4 ?$ O可以将其删除，来防止此类木马的危害.. K1 w9 ]1 N% t. V
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
, Z# ?; J1 }% `8 s2 G如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件" {3 ]9 g! K* W: y& c+ k' {/ a
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:$ h0 [6 z  k5 _- b$ s$ I
cacls C:\WINNT\system32\scrrun.dll /e /d guests# o+ U! q' w' J% h6 ^% m

) c& R+ h% t$ E
3 ^! V: K+ M8 p: R W
二.使用WScript.Shell组件* x3 @0 F/ r1 E5 Q! C

1 x* T! s& ~6 V1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.* l! e; x. b. Y3 W3 c
/ m# P) f* e' l$ i6 m! C; U1 ^
HKEY_CLASSES_ROOT\WScript.Shell\
9 U3 N/ ?. y# I" R7 ~, |: a, M及
/ ?& Z' t7 E1 n" W6 }* WHKEY_CLASSES_ROOT\WScript.Shell.1\
6 E1 ^; I8 V/ P/ z/ l改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
. N$ ^, f5 t8 a: O% U自己以后调用的时候使用这个就可以正常调用此组件了
7 b8 u& n, y1 l& j- M) E6 y& i8 U5 z  Q
2.也要将clsid值也改一下
! `( Q! ?0 Y1 u. xHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
2 e4 e* ?3 Z2 \( ]4 A- RHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值7 t& ~4 @1 ^# u2 v. a* u  w. Z
也可以将其删除，来防止此类木马的危害。
2 L# J) F; j  V9 E1 e

三.使用Shell.Application组件4 p h% Y0 D! R5 o. P' M

6 b, U( y! Q( a3 J* O8 q$ [
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。9 p( X4 T4 y$ A* X9 h% J
HKEY_CLASSES_ROOT\Shell.Application\# S! C( c  z& Y) A3 q, A
及
2 V6 H6 O7 P) D( [4 K6 wHKEY_CLASSES_ROOT\Shell.Application.1\
4 c" q3 C& w7 C5 k改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName- {0 @* e. c/ {( s* s" ]  w6 \
自己以后调用的时候使用这个就可以正常调用此组件了7 {0 P: e. S6 B5 I
2.也要将clsid值也改一下
6 R9 w+ S& L/ F- `& P+ G; t' g; OHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值, d! W: v) G/ z# ?  D
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值; E$ W0 t/ s; q+ o% `$ F1 g
也可以将其删除，来防止此类木马的危害。8 H+ _6 A0 \& U) w
' C' w9 w1 }* H  _  E1 v6 g" R
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
& z- _/ q* S. Q) }! Xcacls C:\WINNT\system32\shell32.dll /e /d guests+ r$ U- Y9 C* v  }# V* d

# y7 y. @, R7 w5 _
四.调用cmd.exe

! B; R7 z1 j: ~8 H+ C8 p
禁用Guests组用户调用cmd.exe命令: ~: T2 s6 Q8 F$ d9 n! J% k6 C0 P9 q
cacls C:\WINNT\system32\Cmd.exe /e /d guests
: j/ z/ |3 R- }3 t

- e/ Y& H# G5 V) s" R% x
1 ~' {& p$ N4 L; x2 P
五.其它危险组件处理:7 u" N2 o. n' x" R# ] g7 ?5 P

" `; s; w9 `; ]( a* `
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 3 D [8 b/ G0 Q2 m2 h0 O# j, P
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)0 J; [& Z" l4 }( l: K
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)/ P" L6 Z0 L D* ]8 y5 M# |% X

: J, c/ P5 B) W- X
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程