[原创文章] 服务器如何防范ASP木马进一步的侵蚀

木马, 服务器, ASP, 侵蚀

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

% A9 Z8 |. y$ A2 M$ G1 @
' r k! R2 W& q3 m! Y! Y8 X: ]3 q* w
原创作者：柔肠寸断【3.A.S.T】(http://www.3ast.com.cn)
信息来源：3.A.S.T网络安全技术团队5 f$ v1 e3 g3 N* d, b3 i3 e) g
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.( ?3 M X' U4 J9 `" T6 z7 m8 }
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.
3 k# T* W9 C0 N( h1 [
一.使用FileSystemObject组件' F% Z/ A% G0 c: S

+ l& |, Y' t3 a! _1 B1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
$ A6 d' A5 n9 |$ D* L( E+ a* P, dHKEY_CLASSES_ROOT\Scripting.FileSystemObject\* `( f* s8 o! G
改名为其它的名字，如：改为FileSystemObject_3800
2 m. U: L8 F/ T自己以后调用的时候使用这个就可以正常调用此组件了.
) t& \  g4 l8 ]  m4 t* K% @2.也要将clsid值也改一下5 H/ \7 c" p9 a
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值: g. l5 j2 P7 k* W0 c
可以将其删除，来防止此类木马的危害.  F( g7 s% o+ z6 Z, V3 p# o
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
" S1 X( g+ g* L7 j  Y& g! v8 \如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
' N2 H% ~9 K) c; m1 b5 e5 |4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:7 }) }8 m2 `6 R- {
cacls C:\WINNT\system32\scrrun.dll /e /d guests' ?# {0 S* Y6 P' s9 Q

( P& `: W! l! j6 o* P; T
5 c, t; Q+ \6 ]! g
二.使用WScript.Shell组件

- ?: E- a$ M: C. G0 k; U1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.( } R$ q5 J" a6 t$ z) h7 |
- k6 T$ Y, F7 P
HKEY_CLASSES_ROOT\WScript.Shell\
; V& l& X0 T2 E及
. H! p" m5 Z3 y. v: b- JHKEY_CLASSES_ROOT\WScript.Shell.1\3 ^2 T8 z$ [' M* ~; r
改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
) x4 w1 W$ y& M8 M7 k$ {自己以后调用的时候使用这个就可以正常调用此组件了- v% T8 ?" \, V& Z

- W; O% u) k1 I9 B- `7 y2.也要将clsid值也改一下0 i* Y% l2 g9 m# M; |9 g& {
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值* L/ V2 Y3 G. {
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值3 Q" v+ S4 ?& q) ?# T. K$ L: \
也可以将其删除，来防止此类木马的危害。6 o* A! h q0 P; z8 \' p

三.使用Shell.Application组件: U0 ^: K* @" w- y

: d3 A* C7 ?+ u4 I" K! n
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
5 A0 w, x7 L" {HKEY_CLASSES_ROOT\Shell.Application\
( z6 u2 S- K6 P- r) k8 a及; ?1 b8 H" t3 b- ~! M+ j, Y
HKEY_CLASSES_ROOT\Shell.Application.1\
! k; l7 T& K3 u4 ^" O改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
' e9 y2 q' J# ]$ P+ Z自己以后调用的时候使用这个就可以正常调用此组件了, E, R9 o/ k5 j. F
2.也要将clsid值也改一下* m/ H0 ~2 ]# O' }
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值4 p1 p! {4 F$ O$ V. L# i9 E3 M+ c* y' z
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
* ^9 n' o# N7 N0 m- l, \1 r也可以将其删除，来防止此类木马的危害。; Z$ g# E, V, h! H! t8 i7 L7 e

9 [& H7 y" T) ?6 {( ~6 x0 w9 x3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
1 l. W6 _2 m5 V0 ?0 I" Acacls C:\WINNT\system32\shell32.dll /e /d guests5 [% i; j3 N" n8 Q9 y

四.调用cmd.exe( x( ^' t( F# p/ }+ V% }& t

1 j( |$ r5 {( a0 R. `
禁用Guests组用户调用cmd.exe命令:6 V# j4 P1 F2 `
cacls C:\WINNT\system32\Cmd.exe /e /d guests
$ Q9 e' G$ j4 o

5 H4 a7 e) f' f' o, L+ B
6 B {8 a$ y1 V, P R
五.其它危险组件处理:

. m* O2 L- u; w8 Q
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) 9 X6 l; J+ M! |$ ^
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
1 [2 p% [# \# F3 a- F+ N- `WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)2 a" D7 Z6 \$ q* T8 M

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

PS:有时间把图加上去，或者作个教程