Si su servidor tiene problemas con troyanos ASP, espero que este artículo pueda ayudarlo a resolver el problema al que se enfrenta.
Los troyanos ASP actualmente populares utilizan principalmente tres tecnologías para realizar operaciones relacionadas en el servidor.
1. Utilice el componente FileSystemObject
FileSystemObject para realizar operaciones regulares en archivos.
Puede evitar el daño de dichos troyanos modificando el registro y cambiando el nombre de este componente.
HKEY_CLASSES_ROOTScripting.FileSystemObject
Cambie el nombre a otro nombre, como: FileSystemObject_ChangeName.
Cuando lo llame en el futuro, podrá usarlo para llamar a este componente normalmente.
También cambie el valor clsid al
valor del proyecto HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID
. o eliminarlo para evitar el daño de dichos troyanos.
Comando para cancelar el registro de este componente: RegSrv32 /u C:WINNTSYSTEMscrrun.dll
Prohíbe a los usuarios invitados utilizar scrrun.dll para evitar llamar a este componente.
Utilice el comando: cacls C:WINNTsystem32scrrun.dll /e /d guest
2. Utilice el componente WScript.Shell.
WScript.Shell puede llamar al kernel del sistema para ejecutar comandos básicos de DOS.
Puede modificar el registro y cambiarle el nombre. componente para prevenir los peligros de este tipo de troyanos.
HKEY_CLASSES_ROOTWScript.Shell y HKEY_CLASSES_ROOTWScript.Shell.1
Cambie el nombre a otro nombre, como: WScript.Shell_ChangeName o WScript.Shell.1_ChangeName.
Cuando lo llame en el futuro, puede usarlo para llamar a este componente normalmente.
También cambie el valor clsid a
HKEY_CLASSES_ROOTWScript.Shell. CLSID proyecto El valor del proyecto HKEY_CLASSES_ROOTWScript.Shell.1CLSID
también se puede eliminar para evitar el daño de dichos troyanos.
3. Usando el componente Shell.Application
Shell.Application puede llamar al kernel del sistema para ejecutar comandos básicos de DOS.
Puede modificar el registro y cambiar el nombre de este componente para evitar el daño de dichos troyanos.
HKEY_CLASSES_ROOTShell.Aplicación
y HKEY_CLASSES_ROOTShell.Application.1
Cambie el nombre a otro nombre, como: Shell.Application_ChangeName o Shell.Application.1_ChangeName.
Puede usar esto para llamar a este componente normalmente cuando lo llame en el futuro.
También cambie el valor clsid a
HKEY_CLASSES_ROOTShell.Application. CLSID proyecto El valor del proyecto HKEY_CLASSES_ROOTShell.ApplicationCLSID
también se puede eliminar para evitar el daño de dichos troyanos.
Evite que los usuarios invitados utilicen shell32.dll para evitar que se llame a este componente.
Utilice el comando: cacls C:WINNTsystem32shell32.dll /e /d invitados
Nota: Todas las operaciones requieren reiniciar el servicio WEB para que surtan efecto.
4. Llame a Cmd.exe
para impedir que los usuarios del grupo Invitados llamen a cmd.exe
Los invitados cacls C:WINNTsystem32Cmd.exe /e /d
básicamente pueden prevenir varios troyanos populares mediante la configuración de cuatro pasos anterior, pero la forma más efectiva es utilizar configuraciones de seguridad integrales para garantizar la seguridad del servidor y del programa. Si se alcanzan ciertos estándares, ¿se puede establecer un nivel de seguridad más alto para evitar más intrusiones ilegales?