如果您的服務器正在受ASP木馬的困擾那麼希望這篇文章能幫您解決您所面臨的問題
目前比較流行的ASP木馬主要通過三種技術來進行對服務器的相關操作
一使用FileSystemObject組件
FileSystemObject可以對文件進行常規操作可以通過修改注冊表將此組件改名來防止此類木馬的危害
HKEY_CLASSES_ROOT\ScriptingFileSystemObject\改名為其它的名字如改為FileSystemObject_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\ScriptingFileSystemObject\CLSID\項目的值
也可以將其刪除來防止此類木馬的危害
注銷此組件命令RegSvr /u C:\WINNT\SYSTEM\scrrundll
禁止Guest用戶使用scrrundll來防止調用此組件
使用命令cacls C:\WINNT\system\scrrundll /e /d guests
二使用WScriptShell組件
WScriptShell可以調用系統內核運行DOS基本命令可以通過修改注冊表將此組件改名來防止此類木馬的危害
HKEY_CLASSES_ROOT\WScriptShell\及HKEY_CLASSES_ROOT\WScriptShell\改名為其它的名字如改為WScriptShell_ChangeName或WScriptShell_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\WScriptShell\CLSID\項目的值
HKEY_CLASSES_ROOT\WScriptShell\CLSID\項目的值
也可以將其刪除來防止此類木馬的危害
三使用ShellApplication組件
ShellApplication可以調用系統內核運行DOS基本命令可以通過修改注冊表將此組件改名來防止此類木馬的危害
HKEY_CLASSES_ROOT\ShellApplication\
及HKEY_CLASSES_ROOT\ShellApplication\
改名為其它的名字如改為ShellApplication_ChangeName或ShellApplication_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\ShellApplication\CLSID\項目的值
HKEY_CLASSES_ROOT\ShellApplication\CLSID\項目的值
也可以將其刪除來防止此類木馬的危害
禁止Guest用戶使用shelldll來防止調用此組件
使用命令cacls C:\WINNT\system\shelldll /e /d guests
注操作均需要重新啟動WEB服務後才會生效
四調用Cmdexe
禁用Guests組用戶調用cmdexe
cacls C:\WINNT\system\Cmdexe /e /d guests
通過以上四步的設置基本可以防范目前比較流行的幾種木馬但最有效的辦法還是通過綜合安全設置將服務器程序安全都達到一定標准才可能將安全等級設置較高防范更多非法入侵
From:http://tw.wingwit.com/Article/program/net/201311/14781.html
