ASP木马可以说是非常麻烦而且恶心的一个木马,因为它和其他ASP程序没有什么本质的区别,只要是能运行ASP程序就能运行它,这就让它非常不容易被发现,所以很恶心麻烦,现在的服务器都是自带杀毒软件包括raksmart服务器,但是有的ASP程序存在漏洞,那么还是受到ASP木马的困扰,以下四种方法可以帮助您彻底的清除ASP木马。
1、使用File System Object(文件系统对象FSO)对象
FileSystemObject可以对文件进行常规操作
可以通过修改服务器注册表,将此对象改名,来杜绝此类木马的攻击。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名为其它的名称,如:修改为FileSystemObject_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
另外将clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
也可以将其删除,来杜绝这类木马的攻击。
注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
禁止Guest用户组使用scrrun.dll来防止调用此组件。
使用命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests
美国服务器raksmart
美国服务器
2、使用WScript.Shell组件
WScript.Shell是WshShell对象的ProgID,创建WshShell对象可以运行程序、操作注册表、创建快捷方式、访问系统文件夹、管理环境变量。可以调用系统内核运行DOS基本命令可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid(CLSID是指windows系统对于不同的应用程序,文件类型,OLE对象,特殊文件夹以及各种系统组件分配一个唯一表示它的ID代码,用于对其身份的标示和与其他对象进行区分)值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
3、使用Shell.Application组件
Shell.Application表示外壳中的对象。方法被提供于控制外壳和执行外壳内的命令,也有一些方法获得其他外壳相关的对象。可以调用系统内核运行DOS基本命令可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
禁止Guest用户使用shell32.dll来防止调用此组件。
使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
注:操作均需要重新启动WEB服务后才会生效。
4、调用Cmd.exe
禁用Guests组用户调用cmd.exe cacls C:\WINNT\system32\Cmd.exe /e /d guests
用户通过上述的一系列设置基本上可以完成对asp的有效封杀,这也是目前比较主流的防范asp木马的攻击,大家在平常网站安全的日常维护中,还要做到的程序定期的升级、服务器补丁的及时安装、流量异常的攻击检测。服务器安全关系到网站发展的成败是一件非常重要的事情。
