ASP木馬是用ASP編寫的網(wǎng)站程序。它和其它ASP程序沒有本質(zhì)區(qū)別,只要是能運(yùn)行ASP的空間就能運(yùn)行它,這種性質(zhì)使得ASP木馬非常不易被發(fā)覺。就算是優(yōu)秀的殺毒軟件,也未必能夠檢測出它到底是ASP木馬還是正常的ASP網(wǎng)站程序。現(xiàn)如今很多服務(wù)器自備殺毒軟件,但是部分用戶由于所用的asp程序存在各種各樣的漏洞,不免還是受到asp木馬的困擾,那么如何才能從根本上徹底清除asp木馬。
1、使用File System Object(文件系統(tǒng)對象FSO)對象
FileSystemObject可以對文件進(jìn)行常規(guī)操作
可以通過修改服務(wù)器注冊表,將此對象改名,來杜絕此類木馬的攻擊。
HKEY_CLASSES_ROOTScripting.FileSystemObject
改名為其它的名稱,如:修改為FileSystemObject_ChangeName
自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
另外將clsid值也改一下
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID項目的值
也可以將其刪除,來杜絕這類木馬的攻擊。
注銷此組件命令:RegSrv32 /u C:WINNTSYSTEMscrrun.dll
禁止Guest用戶組使用scrrun.dll來防止調(diào)用此組件。
使用命令:cacls C:WINNTsystem32scrrun.dll /e /d guests
2、使用WScript.Shell組件
WScript.Shell是WshShell對象的ProgID,創(chuàng)建WshShell對象可以運(yùn)行程序、操作注冊表、創(chuàng)建快捷方式、訪問系統(tǒng)文件夾、管理環(huán)境變量。可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令
可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOTWScript.Shell
及
HKEY_CLASSES_ROOTWScript.Shell.1
改名為其它的名字,如:改為WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
也要將clsid(CLSID是指windows系統(tǒng)對于不同的應(yīng)用程序,文件類型,OLE對象,特殊文件夾以及各種系統(tǒng)組件分配一個唯一表示它的ID代碼,用于對其身份的標(biāo)示和與其他對象進(jìn)行區(qū)分)值也改一下
HKEY_CLASSES_ROOTWScript.ShellCLSID項目的值
HKEY_CLASSES_ROOTWScript.Shell.1CLSID項目的值
也可以將其刪除,來防止此類木馬的危害。
3、使用Shell.Application組件
Shell.Application表示外殼中的對象。方法被提供于控制外殼和執(zhí)行外殼內(nèi)的命令,也有一些方法獲得其他外殼相關(guān)的對象。可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令
可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOTShell.Application
及
HKEY_CLASSES_ROOTShell.Application.1
改名為其它的名字,如:改為Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOTShell.ApplicationCLSID項目的值
HKEY_CLASSES_ROOTShell.ApplicationCLSID項目的值
也可以將其刪除,來防止此類木馬的危害。
禁止Guest用戶使用shell32.dll來防止調(diào)用此組件。
使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests
注:操作均需要重新啟動WEB服務(wù)后才會生效。
4、調(diào)用Cmd.exe
禁用Guests組用戶調(diào)用cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d guests
用戶通過上述的一系列設(shè)置基本上可以完成對asp的有效封殺,這也是目前比較主流的防范asp木馬的攻擊,大家在平常網(wǎng)站安全的日常維護(hù)中,還要做到的程序定期的升級、服務(wù)器補(bǔ)丁的及時安裝、流量異常的攻擊檢測。服務(wù)器安全關(guān)系到網(wǎng)站發(fā)展的成敗是一件非常重要的事情。
