时间:2021-05-18
修改三个组件来达到防asp木马攻击.FileSystemObject组件---对文件进行常规操作.WScript.Shell组件---可以调用系统内核运行DOS命令.Shell.Application组件--可以调用系统内核运行DOS命令.
一.使用FileSystemObject组件
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\改名为其它的名字,如:改为FileSystemObject_good自己以后调用的时候使用这个就可以正常调用此组件了.
2.也要将clsid值也改一下HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值可以将其删除,来防止此类木马的危害.
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
cacls C:\WINNT\system32\scrrun.dll /e /d guests
二.使用WScript.Shell组件
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
2.也要将clsid值也改一下HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
三.使用Shell.Application组件
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\改名为其它的名字,如:改为Shell.Application_ChangeName或
Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
2.也要将clsid值也改一下HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
cacls C:\WINNT\system32\shell32.dll /e /d guests
四.调用cmd.exe
禁用Guests组用户调用cmd.exe命令:
cacls C:\WINNT\system32\Cmd.exe /e /d guests
五.其它危险组件处理:
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面
的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果
你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
快速删除方法:
开始--运行--Regedit,打开注册表编辑器,按Ctrl+F查找,依次输入以上
Wscript.Shell等组件名称以及相应的ClassID,然后进行删除或者更改名称.
大家可以亲自动手实践一下,是不是会达到预想的效果。
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
木马原理:入侵者使用诸如ASP图片木马生成器之类的工具将一张正常的图片与一个ASP木马文件合并成一个图片文件(即将对网站有害的ASP代码插在图片编码之后,虽然图
asp木马不具有的功能是远程溢出提取功能,但具备上传功能、下载功能和浏览目录功能。 ASP木马是用ASP编写的网站程序。它和其它ASP程序没有本质区别,只要是
asp木马不具有的功能是远程溢出提取功能,但具备上传功能、下载功能和浏览目录功能。 asp木马是用ASP编写的网站程序。它和其它ASP程序没有本质区别,只要是
+-----------------+|淘特ASP木马扫描器|+-----------------+ 本程序可以扫描服务器上的所有指定类型(asp,cer,a
一般现今ASP木马常通过以下四点来操作服务器,所以我们只要将一下四处设置好就能从一前使用IIS服务器的站长很多,特别是对于ASP网站来说,防止ASP木马成了网站