Если ваш сервер страдает от троянов ASP, я надеюсь, что эта статья поможет вам решить проблему, с которой вы столкнулись.
Популярные в настоящее время трояны ASP в основном используют три технологии для выполнения связанных операций на сервере.
1. Используйте компонент FileSystemObject
FileSystemObject для выполнения обычных операций с файлами.
Вы можете предотвратить вред от таких троянов, изменив реестр и переименовав этот компонент.
HKEY_CLASSES_ROOTScripting.FileSystemObject
Измените имя на другое имя, например: FileSystemObject_ChangeName.
При вызове этого компонента в будущем вы сможете использовать его для обычного вызова компонента.
Также следует изменить значение clsid.
Значение проекта HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID
также можно удалить, чтобы предотвратить вред от таких троянов.
Отмените регистрацию этого компонента командой: RegSrv32 /u C:WINNTSYSTEMscrrun.dll.
Запретить гостевым пользователям использовать scrrun.dll, чтобы предотвратить вызов этого компонента.
Используйте команду: cacls C:WINNTsystem32scrrun.dll /e /d Guest
2. Используйте компонент WScript.Shell.
WScript.Shell может вызывать ядро системы для выполнения основных команд DOS.
Вы можете изменить реестр и переименовать его. компонент для предотвращения опасности таких троянов.
HKEY_CLASSES_ROOTWScript.Shell
и
HKEY_CLASSES_ROOTWScript.Shell.1
Измените имя на другое имя, например: WScript.Shell_ChangeName или WScript.Shell.1_ChangeName.
При вызове этого компонента в будущем вы можете использовать его для обычного вызова компонента.
Также следует изменить значение clsid.
Значение HKEY_CLASSES_ROOTWScript.ShellCLSIDProject
Значение проекта HKEY_CLASSES_ROOTWScript.Shell.1CLSID
также можно удалить, чтобы предотвратить вред от таких троянов.
3. Использование компонента Shell.Application
Shell.Application может вызывать ядро системы для выполнения основных команд DOS.
Вы можете изменить реестр и переименовать этот компонент, чтобы предотвратить вред от таких троянов.
HKEY_CLASSES_ROOTShell.Application
и
HKEY_CLASSES_ROOTShell.Application.1
Измените имя на другое имя, например: Shell.Application_ChangeName или Shell.Application.1_ChangeName.
При вызове этого компонента в будущем вы можете использовать его для обычного вызова компонента.
Также следует изменить значение clsid.
HKEY_CLASSES_ROOTShell.ApplicationCLSIDЗначение проекта
Значение проекта HKEY_CLASSES_ROOTShell.ApplicationCLSID
также можно удалить, чтобы предотвратить вред от таких троянов.
Отключите гостевые пользователи от использования Shell32.dll, чтобы предотвратить вызов этого компонента.
Используйте команду: cacls C:WINNTsystem32shell32.dll /e /d Guest
Примечание. Чтобы операция вступила в силу, необходимо перезапустить веб-службу.
4. Вызовите Cmd.exe
, чтобы запретить пользователям группы «Гости» вызывать cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d гостей.
С помощью настроек, описанных выше, вы можете предотвратить появление нескольких популярных троянов. но самый эффективный. Лучший способ — использовать комплексные настройки безопасности, чтобы обеспечить соответствие безопасности сервера и программы определенному стандарту. Только тогда можно установить более высокий уровень безопасности, чтобы предотвратить новые незаконные вторжения.