如果你的服务器正在遭受ASP木马的困扰,希望这篇文章可以帮助你解决你所面临的问题。
目前流行的ASP木马主要使用三种技术来操作服务器。
I .使用文件系统对象组件
FileSystemObject可以对文件执行常规操作。
您可以修改注册表并重命名此组件,以防止此类木马的危害。
HKEY _类_根脚本。文件系统对象
将该名称更改为另一个名称,如FileSystemObject_ChangeName。
以后自己调用这个组件的时候可以用这个正常调用。
还要更改clsid值。
HKEY _类_根脚本.文件系统对象clsid项目的值
也可以删除,防止此类木马的危害。
取消注册此组件的命令:regsrv 32/u c:winntsystemscrun.dll
禁止来宾用户使用scrrun.dll来防止该组件被调用。
使用命令:cacls c:winntsystem32skrun.dll/e/dguests
第二,使用WScript。外壳组件
WScript。Shell可以调用系统内核来运行基本的DOS命令。
您可以修改注册表并重命名此组件,以防止此类木马的危害。
HKEY _类_根脚本。Shell和HKEY _ class _ root wscript . shell . 1
将该名称更改为另一个名称,如WScript。Shell_ChangeName或WScript。Shell.1_ChangeName。
以后自己调用这个组件的时候可以用这个正常调用。
还要更改clsid值。
HKEY _类_ rootwscript.shellclsid项目的值
HKEY _类_ rootwscript.shell.1csid项的值
也可以删除,防止此类木马的危害。
三。使用Shell。应用组件
贝壳。应用程序可以调用系统内核来运行基本的DOS命令。
您可以修改注册表并重命名此组件,以防止此类木马的危害。
HKEY _班级_根壳。应用
和HKEY _类_根壳.应用程序. 1
将名称更改为其他名称,如Shell。Application_ChangeName或Shell。Application.1_ChangeName。
以后自己调用这个组件的时候可以用这个正常调用。
还要更改clsid值。
HKEY _类_ rootshell.applicationclsid项目的值
HKEY _类_ rootshell.applicationclsid项目的值
也可以删除,防止此类木马的危害。
禁止来宾用户使用shell32.dll来防止该组件被调用。
使用命令:cacls c:winntsystem32shell32.dll/e/dguests
注意:在WEB服务重新启动之前,所有操作都不会生效。
第四,给Cmd.exe打电话。
禁止来宾组用户呼叫cmd.exe。
cacls C:win ntsystem 32 cmd . exe/e/d guests
以上四个步骤基本可以防止目前比较流行的几种木马,但最有效的方法还是通过全面的安全设置,使服务器和程序安全达到一定的标准,从而设置更高的安全级别,防止更多的非法入侵。
以上方法可以阻止主流木马文件运行!
