Wenn Ihr Server Probleme mit ASP-Trojanern hat, hoffe ich, dass dieser Artikel Ihnen bei der Lösung des Problems helfen kann.
Die derzeit beliebten ASP-Trojaner nutzen hauptsächlich drei Technologien, um entsprechende Vorgänge auf dem Server auszuführen.
1. Verwenden Sie die FileSystemObject-Komponente
FileSystemObject, um reguläre Vorgänge an Dateien durchzuführen.
Sie können den Schaden durch solche Trojaner verhindern, indem Sie die Registrierung ändern und diese Komponente umbenennen.
HKEY_CLASSES_ROOTScripting.FileSystemObject
Ändern Sie den Namen in einen anderen Namen, z. B.: FileSystemObject_ChangeName.
Wenn Sie ihn in Zukunft aufrufen, können Sie damit
auch den clsid-Wert inden Wert des Projekts HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID
ändern
. oder löschen Sie es, um den Schaden solcher Trojaner zu verhindern.
Heben Sie die Registrierung dieser Komponente auf. Befehl: RegSrv32 /u C:WINNTSYSTEMscrrun.dll.
Verbietet Gastbenutzern die Verwendung von scrrun.dll, um den Aufruf dieser Komponente zu verhindern.
Verwenden Sie den Befehl: cacls C:WINNTsystem32scrrun.dll /e /d Guests
2. Mit der WScript.Shell-Komponente
kann WScript.Shell den Systemkernel aufrufen, um grundlegende DOS-Befehle auszuführen.
Sie können die Registrierung ändern und umbenennen Komponente, um die Gefahren solcher Trojaner zu verhindern.
HKEY_CLASSES_ROOTWScript.Shell und HKEY_CLASSES_ROOTWScript.Shell.1
Ändern Sie den Namen in einen anderen Namen, z. B. WScript.Shell_ChangeName oder WScript.Shell.1_ChangeName.
Wenn Sie ihn in Zukunft aufrufen, können Sie damit
auch den clsid-Wert in
HKEY_CLASSES_ROOTWScript.Shell
ändernCLSID-Projekt. Der Wert des HKEY_CLASSES_ROOTWScript.Shell.1CLSID-Projekts
kann ebenfalls gelöscht werden, um den Schaden durch solche Trojaner zu verhindern.
3. Verwendung der Shell.Application-Komponente
Shell.Application kann den Systemkernel aufrufen, um grundlegende DOS-Befehle auszuführen.
Sie können die Registrierung ändern und diese Komponente umbenennen, um den Schaden solcher Trojaner zu verhindern.
HKEY_CLASSES_ROOTShell.Application
und HKEY_CLASSES_ROOTShell.Application.1
Ändern Sie den Namen in einen anderen Namen, beispielsweise: Shell.Application_ChangeName oder Shell.Application.1_ChangeName.
Sie können dies verwenden, um diese Komponente in Zukunft normal aufzurufen.
Ändern Sie auch den clsid-Wert in
HKEY_CLASSES_ROOTShell.Application. CLSID-Projekt. Der Wert des HKEY_CLASSES_ROOTShell.ApplicationCLSID-Projekts
kann ebenfalls gelöscht werden, um den Schaden durch solche Trojaner zu verhindern.
Deaktivieren Sie Gastbenutzern die Verwendung von „shell32.dll“, um zu verhindern, dass diese Komponente aufgerufen wird.
Verwenden Sie den Befehl: cacls C:WINNTsystem32shell32.dll /e /d Guests
Hinweis: Alle Vorgänge erfordern einen Neustart des WEB-Dienstes, damit sie wirksam werden.
4. Rufen Sie Cmd.exe auf,
um zu verhindern, dass Benutzer der Gästegruppe cmd.exe aufrufen
cacls C:WINNTsystem32Cmd.exe /e /d-Gäste
können durch die oben genannten vierstufigen Einstellungen grundsätzlich mehrere beliebte Trojaner verhindern. Am effektivsten ist es jedoch, umfassende Sicherheitseinstellungen zu verwenden, um die Server- und Programmsicherheit zu gewährleisten Wenn bestimmte Standards erreicht werden, kann die Sicherheitsstufe höher eingestellt werden, um weitere illegale Eindringlinge zu verhindern.