[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

s# p& g! E' P! M! Y' u, R
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)2 L( t# C; X- a3 r1 u& T
信息来源：3.A.S.T网络安全技术团队
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.4 _" {& J9 z( g2 e( i
FileSystemObject组件---对文件进行常规操作. C: D8 ?/ L0 y5 P7 D" @
WScript.Shell组件---可以调用系统内核运行DOS基本命令.4 j3 D: E+ U, [% e1 ^
Shell.Application组件--可以调用系统内核运行DOS基本命令.
$ h! f, H$ i1 k* Z7 |% `
一.使用FileSystemObject组件- u% a- }) j# P

& u! N- C2 e8 U1 F$ l+ p1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.; [3 L- i8 n  T4 J0 U& \
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\0 V' P  A7 V$ `. [$ a5 V
改名为其它的名字，如：改为FileSystemObject_3800
( E/ a0 X- b0 F自己以后调用的时候使用这个就可以正常调用此组件了.
. O0 Z; u2 u8 m2 V$ _7 v" T' N2.也要将clsid值也改一下& |- T& V; y: O/ L
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值) v6 i0 L9 y4 a
可以将其删除，来防止此类木马的危害.8 C7 z8 T; E2 j: v( r  K* G
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  - F" g9 _5 {; T* d# F! c' S- {
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
( m+ l" y5 R/ G* k4 }4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
' }- \6 K6 K3 H. scacls C:\WINNT\system32\scrrun.dll /e /d guests, @" z( O& I$ I8 s/ c+ h

9 ]3 u; v6 r6 S( z1 p

二.使用WScript.Shell组件

% P: d% ]- z. x8 R# I6 W
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.' ]9 @3 J& C/ x9 K& c
/ l" D5 O* |; O9 Z3 R
HKEY_CLASSES_ROOT\WScript.Shell\4 V* d# O& C! ]" j
及
8 V! z7 a/ {# u9 qHKEY_CLASSES_ROOT\WScript.Shell.1\
# _- U3 f5 j! y/ t2 Y( e3 ~' l改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc, |' I9 T+ {+ \# Z) l; ~. G
自己以后调用的时候使用这个就可以正常调用此组件了
( Q) m* n& K2 k3 H- @5 H4 p7 C/ s; P6 M `) R" Z7 D
2.也要将clsid值也改一下
+ `$ p3 C: U! ~! }1 \% bHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值9 u5 A5 v5 h4 D
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值) h7 ?" A4 g" u6 q2 u( [" [% |
也可以将其删除，来防止此类木马的危害。) u% o& i+ m3 r0 L# G; f

三.使用Shell.Application组件

0 C7 i- z! G  H4 X1 b$ O# {1 s
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
2 P' k( @( M# i% n/ F; m8 JHKEY_CLASSES_ROOT\Shell.Application\' C! P9 v! z$ w
及: [8 S/ j; E( ^
HKEY_CLASSES_ROOT\Shell.Application.1\0 k; h2 a8 L  z) T; e. |
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName" c2 m, c3 k) I4 p9 L- I/ b8 n
自己以后调用的时候使用这个就可以正常调用此组件了
* j: k! `% J# }- M+ h! s  j2.也要将clsid值也改一下
2 x. O, ^+ \8 {5 v' rHKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值* F+ ]8 `5 \5 e% J
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值3 V2 |9 o% O  u2 ~/ ], Q- f  Z3 a
也可以将其删除，来防止此类木马的危害。
) I+ r7 e4 K! r" f- l; \; P  P6 m
& F) j4 r. q' G3 `3.禁止Guest用户使用shell32.dll来防止调用此组件命令:8 ?3 R- T7 e0 S' [3 g/ @7 z
cacls C:\WINNT\system32\shell32.dll /e /d guests
8 `& e! ?+ g. I+ J/ G, q5 p

2 G2 N4 X6 o p8 J& d9 h1 R$ i
四.调用cmd.exe

! S- I3 q/ f: d% |
禁用Guests组用户调用cmd.exe命令:
$ V" j4 n& \! G- _0 E" `, Ccacls C:\WINNT\system32\Cmd.exe /e /d guests
0 K7 a# l- j; B: h0 x/ ?

* B) t4 Z* }0 w6 _
4 u7 }; y8 Y, H% C/ z1 x( ?
五.其它危险组件处理:

3 j4 Q* Y- E, U1 I) L
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
2 W5 ] u; L2 q4 I( I/ ~WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74) s; e% M g0 e9 f
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)" B7 \! ?7 {! h1 T, h9 P! S

2 R, D. I1 E* e

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程