[原创文章] 服务器如何防范ASP木马进一步的侵蚀 木马, 服务器, ASP, 侵蚀

柔肠寸断

很多网站被上传了webshell，自然就危害到了服务器的安全，现在我就来谈谈怎么防止ASP木马的进一步侵蚀，阿呆发布了一篇关于服务器安全的文章，大家可以去看看

8 m$ ?8 o. |( n
( F6 F0 ~0 E) @) `原创作者：柔肠寸断 【3.A.S.T】(http://www.3ast.com.cn)
% C9 z/ F. }2 s1 c1 |8 I" g信息来源：3.A.S.T网络安全技术团队" K0 K; ^& G# R! K% ], h
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
/ O, l9 S4 x# Z2 HFileSystemObject组件---对文件进行常规操作.
& U; u6 g3 G. g% m3 M7 s2 OWScript.Shell组件---可以调用系统内核运行DOS基本命令.
+ p+ W9 L/ z# e+ {9 D1 p8 ], ~% N- SShell.Application组件--可以调用系统内核运行DOS基本命令.' h3 Q  M3 [1 o# Z5 x  k# b
, q. H+ B% j, I) [/ T; y; [
一.使用FileSystemObject组件  U, P% T! j% s) M7 z" P

! t% J" W6 r* V; m3 Q) y/ p
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害./ C5 ^% B3 B( l% c- \4 N  |* S
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
# e8 d  J5 W/ \1 o, v改名为其它的名字，如：改为FileSystemObject_3800+ q* a4 o0 q9 P' I# O: b! O
自己以后调用的时候使用这个就可以正常调用此组件了.- {: [. \5 F: e" j: z
2.也要将clsid值也改一下
) N1 o& Q  h0 BHKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
/ R  k8 z+ Z' t. Y5 h+ B可以将其删除，来防止此类木马的危害.
( R6 e6 }6 K0 q1 C. ~3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll  
) L' q4 y3 h  R2 ^如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
' d$ m  L6 |' I8 c4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
$ s  y1 m, K& i. _' Q" ?cacls C:\WINNT\system32\scrrun.dll /e /d guests9 F) [  A, i5 W2 Z1 z

9 q! m! g4 N' C* `7 z5 |6 `3 G7 f

1 q+ v) d8 H3 s二.使用WScript.Shell组件( a2 \6 M( }5 o- r1 ]5 Z: ^: T

# G" @& C. P: s! x5 K% j
1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.
$ ~. p1 V& L0 u1 z2 i6 l& D
2 Z, X9 b; p, v! z. fHKEY_CLASSES_ROOT\WScript.Shell\' R- s9 {. ^' p" `. `7 h
及
3 u5 v4 m6 C0 C! Y- T7 O+ X# Y, PHKEY_CLASSES_ROOT\WScript.Shell.1\
3 [7 a* w$ F* E( t, R改名为其它的名字，如：改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
! Z% M* N4 n. ~自己以后调用的时候使用这个就可以正常调用此组件了6 x8 }1 l  s/ L

* O. z. b( h! j1 }5 ?* b. T/ N2.也要将clsid值也改一下
) `* A' I; y. tHKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
" G/ @8 }# C* {5 a- K  GHKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值- }% q2 I3 |! X. R5 _, `
也可以将其删除，来防止此类木马的危害。
, z8 B% z: g7 i+ k9 |6 n  p

  T6 r+ E& P( Z; ?! R* R三.使用Shell.Application组件6 d7 y& k5 E" R8 W, l  [

3 l4 t, @1 t/ [. m1 i' f, G( H1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。
& _" N9 w9 j8 A" h( KHKEY_CLASSES_ROOT\Shell.Application\* b- E( }' Y: L
及
8 p: a9 t! O* j5 I" F  WHKEY_CLASSES_ROOT\Shell.Application.1\
! ^  a: c9 l$ V* e# |/ F8 t6 e, A改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
& q: J! G6 ?2 d; v9 p, D  h! z自己以后调用的时候使用这个就可以正常调用此组件了
$ T# V) b  w5 `7 \) j2.也要将clsid值也改一下2 B6 t7 [3 d' O
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
  e2 q/ `) S6 ?1 J4 O+ ]HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
- {4 ^1 Z! _  Y+ N也可以将其删除，来防止此类木马的危害。/ q& t* ]0 H5 x

0 f9 z1 b+ H; b4 G  s3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
) H! L$ C( h5 S  J* ~& a) U7 Ucacls C:\WINNT\system32\shell32.dll /e /d guests
7 ~2 [& ]: ^; E" a- e' T) t

" g+ z- R( n& T四.调用cmd.exe
( {- L, O2 x5 B9 K

5 |) }0 c$ V2 Z! u! O
禁用Guests组用户调用cmd.exe命令:, ]) a8 J; [! J* G
cacls C:\WINNT\system32\Cmd.exe /e /d guests
2 s+ {5 `5 X: [; d( j

- l- ]8 m% N" _( g5 I9 q1 {& q- U5 [6 Q9 f& u
五.其它危险组件处理:
1 m( g# C' ^9 C2 U9 x" r

4 j5 X9 z+ S& y( x) c8 N0 Z
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
9 R* M% ~; Y/ S  x  m/ R* pWScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
5 ^; I; @0 G# {  M2 BWScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)4 C9 j7 N" m# ^( m, f! {! ?  D

3 M" `, l" a( i& P8 \' J
2 j4 m/ {( y' d, u7 {* L  L按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.& |$ M7 k7 i! j8 v# g& g% ?
4 b  i5 X1 O' M/ _3 x& z  b6 [
PS:有时间把图加上去，或者作个教程

saitojie

我只是知道这三个组件，但是具体怎么用，还真不知道- -！

柔肠寸断

我本机测试了下
! f8 ?7 _) u. W* g
5 B' c5 r4 k3 x! Q& q4 h% @如果更改了相应的组件之后，ASP木马就完全打不开了

saitojie

有控发点图上来对比下

猪猪

哦 学习了  知己知彼方能。。。。:)

paomo86

学习了……:D

小雄

发点图比较容易吸收。。:lol    不过这样也行。

在意z

谢谢楼主分享技术。。