如何防范ASP木马

修改三个组件来达到防asp木马攻击.FileSystemObject组件---对文件进行常规操作.WScript.Shell组件---可以调用系统内核运行DOS命令.Shell.Application组件--可以调用系统内核运行DOS命令.

一.使用FileSystemObject组件

1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.

HKEY_CLASSES_ROOT\Scripting.FileSystemObject\改名为其它的名字,如:改为FileSystemObject_good自己以后调用的时候使用这个就可以正常调用此组件了.

2.也要将clsid值也改一下HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值可以将其删除,来防止此类木马的危害.

3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件

4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:

cacls C:\WINNT\system32\scrrun.dll /e /d guests

二.使用WScript.Shell组件

1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.

HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

2.也要将clsid值也改一下HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值

也可以将其删除,来防止此类木马的危害。

三.使用Shell.Application组件

1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。

HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\改名为其它的名字,如:改为Shell.Application_ChangeName或

Shell.Application.1_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

2.也要将clsid值也改一下HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

也可以将其删除,来防止此类木马的危害。

3.禁止Guest用户使用shell32.dll来防止调用此组件命令:

cacls C:\WINNT\system32\shell32.dll /e /d guests

四.调用cmd.exe

禁用Guests组用户调用cmd.exe命令:

cacls C:\WINNT\system32\Cmd.exe /e /d guests

五.其它危险组件处理:

Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})

WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)

WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面

的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果

你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.

快速删除方法:

开始--运行--Regedit,打开注册表编辑器,按Ctrl+F查找,依次输入以上

Wscript.Shell等组件名称以及相应的ClassID,然后进行删除或者更改名称.

大家可以亲自动手实践一下,是不是会达到预想的效果。

(0)

相关推荐

  • ASP函数大全解析

    Array()  函数返回一个数组 表达式 Array(list) 允许数据类型: 字符,数字均可 实例: <% Dim myArray() For i = 1 to 7 Redim Preserve myArray(i) myArray(i) = WeekdayName(i) Next %> 返回结果: 建立了一个包含7个元素的数组myArray myArray("Sunday","Monday", ... ... "Saturday&quo

  • asp防止上传图片木马原理解析

    首先判断文件大小: if file.filesize<10 then Response.Write("<script>alert('您没有选择上传文件')</script>") Response.Write("<script>history.go(-1)</script>") Response.End() end if 将文件上传到服务器后,判断用户文件中的危险操作字符: set MyFile = server.

  • ASP防止图片木马上传的代码

    ASP木马防御: 复制代码 代码如下: const adTypeBinary=1 dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8) dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D) dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H4

  • 防范ASP木马的十大基本原则强列建议看下

    由于ASP它本身是服务器提供的一项服务功能,特别是最近由dvbbs的upfile文件出现漏洞以来,其高度的隐蔽性和难查杀性,对网站的安全造成了严重的威胁.因此针对ASP木马的防范和清除,为网管人员提出了更高的技术要求. 几个大的程序全部被发现存在上传漏洞,小程序更是不计其数,让asp木马一下占据了主流,得到广泛的使用,想必如果你是做服务器的话,一定为此头疼不止吧,特别是虚拟主机的用户都遇到过网页被篡改.数据被删除的经历,事后除了对这种行径深恶痛绝外,许多客户又苦于没有行之有效的防范措施.鉴于大部

  • 如何防范ASP木马

    修改三个组件来达到防asp木马攻击.FileSystemObject组件---对文件进行常规操作.WScript.Shell组件---可以调用系统内核运行DOS命令.Shell.Application组件--可以调用系统内核运行DOS命令. 一.使用FileSystemObject组件 1.可以通过修改注册表,将此组件改名,来防止此类木马的危害. HKEY_CLASSES_ROOT\Scripting.FileSystemObject\改名为其它的名字,如:改为FileSystemObject_

  • 防止ASP木马在服务器上运行

    如果您的服务器正在受ASP木马的困扰,那么希望这篇文章能帮您解决您所面临的问题. 目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作. 一.使用FileSystemObject组件 FileSystemObject可以对文件进行常规操作 可以通过修改注册表,将此组件改名,来防止此类木马的危害. HKEY_CLASSES_ROOT\Scripting.FileSystemObject\改名为其它的名字,如:改为FileSystemObject_ChangeName 自己以后调用的时候

  • 目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作

    目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作. 一.使用FileSystemObject组件 FileSystemObject可以对文件进行常规操作 可以通过修改注册表,将此组件改名,来防止此类木马的危害. HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ 改名为其它的名字,如:改为FileSystemObject_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASS

  • asp木马代码解密的随机加密webshell

    asp木马代码解密的随机加密webshell

    随机加密webshell,解密还不错,应当免杀 加密源码 复制代码 代码如下: <%@ LANGUAGE = VBScript.Encode %> <%#@~^3A4CAA==@#@& jdDhl/k'r1v2FX!ZFE~,PP,~P,@#@&sHC:'r随机加密 J~P~~@#@&jkDnj"SxE4YY2lJzAhS 4l^0+MRmK:r~P,P~P,P~@#@&ZWazDbotDxEbUn木马随机加密器 rP~P~~,P~P,~P,

  • 有效防止ASP木马上传运行—小知识[网络安全技术]

    一般现今ASP木马常通过以下四点来操作服务器,所以我们只要将一下四处设置好就能从一 前使用IIS服务器的站长很多,特别是对于ASP网站来说,防止ASP木马成了网站安全最关键的内容. 一般现今ASP木马常通过以下四点来操作服务器,所以我们只要将一下四处设置好就能从一定程度上有效防止ASP木马的入侵 一.使用FileSystemObject组件 FileSystemObject可以对文件进行常规操作 可以通过修改注册表,将此组件改名,来防止此类木马的危害. HKEY_CLASSES_ROOT\Scr

  • 两个非常规ASP木马(可躲过扫描)

    hanxiaolian 为了躲避 lake2 ASP站长管理助手而写.. 一.绕过lake2 Asp木马扫描的小马 复制代码 代码如下: <% set c = CreateObject("ADOX.Catalog") c.create("Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath("a.asp")) set c = Nothing c&Serve

  • 隐藏ASP木马后门的两种方法

    1.建立非标准目录:mkdir images..\ 拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp 通过web访问ASP木马:http://ip/images../news.asp?action=login 如何删除非标准目录:rmdir images..\ /s 2.Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的: mkdir 

  • 一款不错的asp木马 黑色界面

    <% Server.ScriptTimeout=999999999 Response.Buffer =true On Error Resume Next UserPass="643617"                           '密码 mName="BY:.尐飛"           '后门名字 Copyright="注:请勿用于非法用途,否则后果作者概不负责"       '版权 Server.ScriptTimeout=9

  • 淘特ASP木马扫描器的代码

    +-----------------+ |淘特ASP木马扫描器| +-----------------+ 本程序可以扫描服务器上的所有指定类型(asp,cer,asa,cdx)的文件,查出可疑的木马程序.系统采用扫描程序与病毒库分离的形式, 以后升级只需像杀毒软件那样升级病毒库就可以了.目前可以查杀所有流行的ASP木马程序. 系统提供了全站扫描.按文件夹和指定文件扫描三种扫描方式,如果网站文件比较少的话,推荐使用"全站扫描",如果文件比较多,推荐 使用按文件夹扫描.扫描过程,系统会记录

随机推荐