防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.
一.使用FileSystemObject组件
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害. HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名为其它的名字,如:改为FileSystemObject_3800
自己以后调用的时候使用这个就可以正常调用此组件了.|把相应自己的asp木马改成这种就可以再正常调用了! 2.也要将clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
可以将其删除,来防止此类木马的危害. 3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件 4.禁止Guest用户使用scrrun.dll来防止调用此组件命令: cacls C:\WINNT\system32\scrrun.dll /e /d guests
二.使用WScript.Shell组件
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
HKEY_CLASSES_ROOT\WScript.Shell\
及
HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:改为WScript.Shell_3800cc或WScript.Shell.1_3800cc
自己以后调用的时候使用这个就可以正常调用此组件了
2.也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
三.使用Shell.Application组件
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 | 里面的键值也要改改,也可以删掉!!! 2.也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 也可以将其删除,来防止此类木马的危害。
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
cacls C:\WINNT\system32\shell32.dll /e /d guests
四.调用cmd.exe
禁用Guests组用户调用cmd.exe命令: cacls C:\WINNT\system32\Cmd.exe /e /d guests
五.其它危险组件处理:
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74) WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更
改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些 |
