Si su servidor tiene problemas con troyanos ASP, espero que este artículo pueda ayudarlo a resolver el problema al que se enfrenta.
Los troyanos ASP actualmente populares utilizan principalmente tres tecnologías para realizar operaciones relacionadas en el servidor.
1. Utilice el componente FileSystemObject
FileSystemObject para realizar operaciones regulares en archivos.
Puede evitar el daño de dichos troyanos modificando el registro y cambiando el nombre de este componente.
HKEY_CLASSES_ROOTScripting.FileSystemObject
Cambie el nombre a otro nombre, como: FileSystemObject_ChangeName.
Cuando lo llame en el futuro, podrá usarlo para llamar al componente normalmente.
También debe cambiar el valor clsid.
El valor del proyecto HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID
también se puede eliminar para evitar el daño de dichos troyanos.
Comando para cancelar el registro de este componente: RegSrv32 /u C:WINNTSYSTEMscrrun.dll?
¿Prohibir a los usuarios invitados utilizar scrrun.dll para evitar llamar a este componente?
Utilice el comando: cacls C:WINNTsystem32scrrun.dll /e /d guest
2. Utilice el componente WScript.Shell.
WScript.Shell puede llamar al kernel del sistema para ejecutar comandos básicos de DOS.
Puede modificar el registro y cambiarle el nombre. componente para prevenir los peligros de este tipo de troyanos.
HKEY_CLASSES_ROOTWScript.Shell
y
HKEY_CLASSES_ROOTWScript.Shell.1
Cambie el nombre a otro nombre, como: WScript.Shell_ChangeName o WScript.Shell.1_ChangeName.
Cuando lo llame en el futuro, puede usarlo para llamar al componente normalmente.
También debe cambiar el valor clsid.
HKEY_CLASSES_ROOTWScript.ShellCLSIDValor del proyecto
El valor del proyecto HKEY_CLASSES_ROOTWScript.Shell.1CLSID
también se puede eliminar para evitar el daño de dichos troyanos.
3. Usando el componente Shell.Application
Shell.Application puede llamar al kernel del sistema para ejecutar comandos básicos de DOS.
Puede modificar el registro y cambiar el nombre de este componente para evitar el daño de dichos troyanos.
HKEY_CLASSES_ROOTShell.Aplicación
y
HKEY_CLASSES_ROOTShell.Application.1
Cambie el nombre a otro nombre, como: Shell.Application_ChangeName o Shell.Application.1_ChangeName.
Cuando lo llame en el futuro, puede usarlo para llamar al componente normalmente.
También debe cambiar el valor clsid.
HKEY_CLASSES_ROOTShell.ApplicationCLSIDValor del proyecto
El valor del proyecto HKEY_CLASSES_ROOTShell.ApplicationCLSID
también se puede eliminar para evitar el daño de dichos troyanos.
Evite que los usuarios invitados utilicen shell32.dll para evitar que se llame a este componente.
Utilice el comando: cacls C:WINNTsystem32shell32.dll /e /d guest
Nota: La operación requiere reiniciar el servicio WEB para que surta efecto.
4. Llame a Cmd.exe
para impedir que los usuarios del grupo Invitados llamen a cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d guest.
A través de la configuración de los cuatro pasos anteriores, básicamente puede prevenir varios troyanos populares. pero la mejor manera es utilizar configuraciones de seguridad integrales para garantizar que la seguridad del servidor y del programa alcance un cierto estándar. Sólo entonces se puede establecer un nivel de seguridad más alto para evitar más intrusiones ilegales.