Wenn Ihr Server Probleme mit ASP-Trojanern hat, hoffe ich, dass dieser Artikel Ihnen bei der Lösung des Problems helfen kann.
Die derzeit beliebten ASP-Trojaner nutzen hauptsächlich drei Technologien, um entsprechende Vorgänge auf dem Server auszuführen.
1. Verwenden Sie die FileSystemObject-Komponente
FileSystemObject, um reguläre Vorgänge an Dateien durchzuführen.
Sie können den Schaden durch solche Trojaner verhindern, indem Sie die Registrierung ändern und diese Komponente umbenennen.
HKEY_CLASSES_ROOTScripting.FileSystemObject
Ändern Sie den Namen in einen anderen Namen, z. B.: FileSystemObject_ChangeName.
Wenn Sie es in Zukunft aufrufen, können Sie dies verwenden, um die Komponente normal aufzurufen.
Sie sollten auch den clsid-Wert ändern.
Der Wert des Projekts HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID
kann ebenfalls gelöscht werden, um den Schaden durch solche Trojaner zu verhindern.
Registrierung dieser Komponente aufheben: Befehl RegSrv32 /u C:WINNTSYSTEMscrrun.dll?
Gastbenutzern die Verwendung von scrrun.dll verbieten, um den Aufruf dieser Komponente zu verhindern.
Verwenden Sie den Befehl: cacls C:WINNTsystem32scrrun.dll /e /d Guests
2. Mit der WScript.Shell-Komponente
kann WScript.Shell den Systemkernel aufrufen, um grundlegende DOS-Befehle auszuführen.
Sie können die Registrierung ändern und umbenennen Komponente, um die Gefahren solcher Trojaner zu verhindern.
HKEY_CLASSES_ROOTWScript.Shell
Und
HKEY_CLASSES_ROOTWScript.Shell.1
Ändern Sie den Namen in einen anderen Namen, z. B. WScript.Shell_ChangeName oder WScript.Shell.1_ChangeName.
Wenn Sie die Komponente in Zukunft aufrufen, können Sie damit
auch den clsid-Wert ändern.
HKEY_CLASSES_ROOTWScript.ShellCLSIDProjektwert
Der Wert des Projekts HKEY_CLASSES_ROOTWScript.Shell.1CLSID
kann ebenfalls gelöscht werden, um den Schaden durch solche Trojaner zu verhindern.
3. Verwendung der Shell.Application-Komponente
Shell.Application kann den Systemkernel aufrufen, um grundlegende DOS-Befehle auszuführen.
Sie können die Registrierung ändern und diese Komponente umbenennen, um den Schaden solcher Trojaner zu verhindern.
HKEY_CLASSES_ROOTShell.Application
Und
HKEY_CLASSES_ROOTShell.Application.1
Ändern Sie den Namen in einen anderen Namen, z. B. „Shell.Application_ChangeName“ oder „Shell.Application.1_ChangeName“.
Wenn Sie die Komponente in Zukunft aufrufen, können Sie dies auch zum normalen Aufrufen verwenden.
Sie sollten auch den clsid-Wert ändern.
HKEY_CLASSES_ROOTShell.ApplicationCLSIDProjektwert
Der Wert des Projekts HKEY_CLASSES_ROOTShell.ApplicationCLSID
kann ebenfalls gelöscht werden, um den Schaden durch solche Trojaner zu verhindern.
Deaktivieren Sie Gastbenutzern die Verwendung von „shell32.dll“, um zu verhindern, dass diese Komponente aufgerufen wird.
Verwenden Sie den Befehl: cacls C:WINNTsystem32shell32.dll /e /d Guests
Hinweis: Der Vorgang erfordert einen Neustart des WEB-Dienstes, um wirksam zu werden.
4. Rufen Sie Cmd.exe auf,
um zu verhindern, dass Benutzer der Gästegruppe cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d Gäste aufrufen.
Durch die Einstellungen der oben genannten vier Schritte können Sie grundsätzlich mehrere beliebte Trojaner verhindern. Am effektivsten ist es jedoch, durch umfassende Sicherheitseinstellungen sicherzustellen, dass die Server- und Programmsicherheit einen bestimmten Standard erreicht. Nur dann kann die Sicherheitsstufe höher eingestellt werden, um weitere illegale Eingriffe zu verhindern.