ASP Trojan เป็นโปรแกรมเว็บไซต์ที่เขียนใน ASP มันสามารถทำงานได้ตราบใดที่พื้นที่สามารถเรียกใช้ ASP ได้ดังนั้นจึงทำให้การค้นพบ Trojans ของ ASP เป็นเรื่องยาก แล้วเราจะป้องกัน Trojans ASP ได้อย่างไร? มาดูเนื้อหาเฉพาะตอนนี้
แก้ไขสามองค์ประกอบเพื่อป้องกันการโจมตีของ Trojan ASP FilesystemObject ส่วนประกอบ-การดำเนินการปกติบน files.wscript.Shell ส่วนประกอบ-สามารถเรียกเคอร์เนลระบบเพื่อเรียกใช้คำสั่ง dos. shell.appontion องค์ประกอบ-สามารถเรียกเคอร์เนลระบบเพื่อเรียกใช้คำสั่ง DOS
1. ใช้ส่วนประกอบ FileSystemObject
1. คุณสามารถป้องกันอันตรายของโทรจันดังกล่าวโดยการปรับเปลี่ยนรีจิสทรีและเปลี่ยนชื่อองค์ประกอบนี้
hkey_classes_root/ scripting.filesystemobject/ ถูกเปลี่ยนชื่อเป็นชื่ออื่นเช่น: เปลี่ยนเป็น filesystemobject_good และใช้ส่วนประกอบนี้เรียกมันตามปกติ
2. เปลี่ยนค่า CLSID ด้วย HKEY_CLASSES_ROOT/SCRIPTING.FILESYSTEMOBJECT/CLSID/รายการสามารถลบได้เพื่อป้องกันอันตรายของโทรจันดังกล่าว
3. ออกจากระบบคำสั่งส่วนประกอบนี้: regsrv32/u c: /winnt/system/scrrun.dll หากคุณต้องการกู้คืนคุณจะต้องลบ/u เพื่อลงทะเบียนส่วนประกอบ ASP ที่เกี่ยวข้องข้างต้นอีกครั้ง
4. ห้ามผู้ใช้แขกจากการใช้ scrrun.dll เพื่อป้องกันการเรียกคำสั่งส่วนประกอบนี้:
cacls c: /winnt/system32/scrrun.dll/e/d แขก
2. ใช้ wscript.shell Component
1. คุณสามารถป้องกันอันตรายของโทรจันดังกล่าวโดยการปรับเปลี่ยนรีจิสทรีและเปลี่ยนชื่อองค์ประกอบนี้
hkey_classes_root/ wscript.shell/ และ hkey_classes_root/ wscript.shell.1/ ถูกเปลี่ยนชื่อเป็นชื่ออื่นเช่น: เปลี่ยนเป็น wscript.shell_changename หรือ wscript.shell.1_changename
คุณสามารถเรียกองค์ประกอบนี้ได้ตามปกติเมื่อคุณเรียกมันในอนาคต
2. เปลี่ยนค่าของ clsid hkey_classes_root/wscript.shell/clsid/รายการค่า hkey_classes_root/wscript.shell.1/clsid/item
นอกจากนี้ยังสามารถลบเพื่อป้องกันอันตรายของโทรจันดังกล่าว
3. ใช้ส่วนประกอบเชลล์แอปพลิเคชัน
1. คุณสามารถแก้ไขรีจิสทรีและเปลี่ยนชื่อองค์ประกอบนี้เพื่อป้องกันอันตรายของโทรจันดังกล่าว
hkey_classes_root/ shell.application/ และ hkey_classes_root/ shell.application.1/ ถูกเปลี่ยนชื่อเป็นชื่ออื่นเช่น: เปลี่ยนเป็น shell.application_changename หรือ
shell.application.1_changename
คุณสามารถเรียกองค์ประกอบนี้ได้ตามปกติเมื่อคุณเรียกมันในอนาคต
2. เปลี่ยนค่าของ clsid hkey_classes_root/shell.Application/clsid/item ค่า hkey_classes_root/shell.application/clsid/item
นอกจากนี้ยังสามารถลบเพื่อป้องกันอันตรายของโทรจันดังกล่าว
3. ห้ามผู้ใช้แขกจากการใช้ Shell32.dll เพื่อป้องกันการเรียกคำสั่งส่วนประกอบนี้:
cacls c: /winnt/system32/shell32.dll/e/d แขก
4. โทร cmd.exe
ปิดการใช้งานผู้ใช้กลุ่มแขกเพื่อเรียกคำสั่ง cmd.exe:
cacls c: /winnt/system32/cmd.exe/e/d แขก
V. การรักษาส่วนประกอบอันตรายอื่น ๆ :
ADODB.STREAM (ClassID: {00000566-0000-0010-8000-00AA006D2EA4}))
wscript.network (ClassID: 093FF9999-1EA0-4079-9525-9614C3504B74)
wscript.network.1 (ClassID: 093FF99999--1EA0-4079-9525-9614C3504B74)
โดยทั่วไปแล้วส่วนประกอบข้างต้นจะไม่สามารถทำได้ ลบโดยตรง หากโปรแกรม ASP บางหน้าใช้โปรแกรมข้างต้น
สำหรับส่วนประกอบของเพียงแค่ใช้ชื่อส่วนประกอบที่เราเปลี่ยนเมื่อเขียนรหัส ASP เพื่อใช้ตามปกติ แน่นอนถ้า
หากคุณแน่ใจว่าส่วนประกอบข้างต้นไม่ได้ใช้ในโปรแกรม ASP ของคุณคุณควรลบและรู้สึกสบายใจมากขึ้น
วิธีการลบด่วน:
เริ่มต้น-รันจารจ
ชื่อของส่วนประกอบเช่น wscript.shell และ classID ที่สอดคล้องกันจากนั้นลบหรือเปลี่ยนชื่อ
ข้างต้นเป็นบรรณาธิการใหม่ที่จะแนะนำวิธีการเพื่อป้องกันการโทรจัน ASP คุณสามารถฝึกฝนด้วยตัวเองเพื่อดูว่ามันจะได้ผลลัพธ์ที่คาดหวังหรือไม่