[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

6 v+ {" _) D4 L! a5 ~+ ~" c. j% ]
/ y1 C) R! f. i/ R2 R/ B/ ]7 B原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
  }" G5 m) X/ Q9 p& K; [! d信息来源：3.A.S.T网络安全技术团队+ D. L7 J% u4 g  D! P. d
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
4 F7 ~/ d8 d% h5 D8 e' oFileSystemObject组件---对文件进行常规操作.1 ?& j. e7 X6 {+ N7 Z* |
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
7 h5 p/ R9 x7 y0 v! r' ?Shell.Application组件--可以调用系统内核运行DOS基本命令.) c% |; T6 b2 G9 N

5 N" `. N5 \  \1 R, D; H3 F, `( n一.使用FileSystemObject组件0 M/ P' @4 ^2 q+ i

2 _/ E3 M4 h1 v
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
! \' a/ z, N. z! T$ g: r4 ~8 w: QHKEY_CLASSES_ROOT\Scripting.FileSystemObject\8 f( X9 I& Y; D# s
改名为其它的名字，如：改为FileSystemObject_38001 m- h3 Z# q, X: I7 D
自己以后调用的时候使用这个就可以正常调用此组件了.& U2 `- t, I- L* |) _8 _4 j" i
2.也要将clsid值也改一下
) h. S" {9 D; W- J( Z, L$ dHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
: e( w  S$ ?% }可以将其删除，来防止此类木马的危害.
9 w2 U- \. j: P4 a1 H3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  5 M& A) G. m7 m! R* _
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件( o8 d9 }: d& \) S% ?2 E
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
0 l& o$ Z* x% x" F0 w6 fcacls C:\WINNT\system32\scrrun.dll /e /d guests8 N, N" l3 C" u% @% U6 \6 ?

6 _( l; w' R/ _- r9 r

, G; u) G, `9 G1 }) ~二.使用WScript.Shell组件
/ B2 y6 _8 s* ?7 a5 y5 e# u6 e. T5 v

$ @9 J  b* S& y1 p% f8 ?
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
; @; `! ~  ]' y* z; i4 V# {& Q$ P7 E
HKEY_CLASSES_ROOT\WScript.Shell\: S: N$ \& f' u* G( w# [+ @
及
* A; [; T, W- ~( K2 p4 ^: q+ |' WHKEY_CLASSES_ROOT\WScript.Shell.1\
; N% }8 y9 \. d" t) w, X) }改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc* f0 P& l% Y7 n: |
自己以后调用的时候使用这个就可以正常调用此组件了
. `$ F4 u( u' C1 j% ~* Z, c! q: Y
. k* f( ^' o  v2.也要将clsid值也改一下4 r1 u8 ?5 r5 R5 ^* ?' v
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
# M: g" n. Q1 u, \. x1 fHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值- l2 v- g4 F, w( o* @% A& h# W7 o& G
也可以将其删除，来防止此类木马的危害。& |4 `3 X8 j& f$ Y' m0 K: z

$ u6 i( a  N: j' I( x三.使用Shell.Application组件
3 M6 X: j  ?$ [" n) [% ?8 o

9 }# ~. c+ }/ C
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。' Z: u  a! x9 Y  m( y* X. H
HKEY_CLASSES_ROOT\Shell.Application\1 A7 [. e  E, j# ?# K6 J. G& B6 A
及
) K2 I# h! Z" @& M9 O% p7 C  s; BHKEY_CLASSES_ROOT\Shell.Application.1\
7 \  [, c* X/ v, T% E& \5 h7 P改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
& o5 c& r, \7 ^* ^" L自己以后调用的时候使用这个就可以正常调用此组件了# ]6 @( W% [7 R* _3 W% @
2.也要将clsid值也改一下5 S) q$ p5 N" N( A" l6 v" D' ?; T! ?
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值# I+ p6 G5 o* l0 f4 K# s- A
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
  G6 s! ?! ?9 P* N1 j也可以将其删除，来防止此类木马的危害。
: r- \9 s7 K7 V+ p+ {0 q$ B0 z& X5 N' p( ?
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
. N' G: \3 E5 q  v' ycacls C:\WINNT\system32\shell32.dll /e /d guests* R+ K0 g) }! c+ W' w

) X2 z$ F0 \' i& A  P0 g/ G% U
四.调用cmd.exe
. s  c( N& q' n, ]. r

" j; B/ `* P9 v
禁用Guests组用户调用cmd.exe命令:, k7 Y; o3 A3 f
cacls C:\WINNT\system32\Cmd.exe /e /d guests# ^. J( j" t4 X9 |2 ?5 |/ @

: X4 {" n/ ?! i2 e8 p( g# \
0 E+ K' V; ^1 h: N& i: t! Y+ j; E五.其它危险组件处理:
6 ^2 t& Z& D0 \8 q* B

4 y9 ~6 H3 [0 O% w4 f' O9 oAdodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
3 c4 R; g; N: s2 A  X5 l3 m% C- N! hWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)" s3 ~2 f. C; B5 Y$ s& v
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)/ c1 \+ W, D7 x& ]6 J" e

( B! Q1 W6 U$ Z- \0 V! A8 r# }  l; u5 c. M, s* i
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.
  J  a) [& k8 |2 R0 X+ K/ ]; G5 L
) [, v1 t) Q$ }* V6 a6 T- x( x  ]PS:有时间把图加上去，或者作个教程

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断

我本机测试了下
* e6 p% Q/ Z" g7 N2 A9 V' o9 ]
; e$ z5 s& r# `' H如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

有控发点图上来对比下

猪猪

哦 学习了  知己知彼方能。。。。:)

paomo86

学习了……:D

小雄

发点图比较容易吸收。。:lol    不过这样也行。

在意z

谢谢楼主分享技术。。