Si votre serveur est perturbé par des chevaux de Troie ASP, j'espère que cet article pourra vous aider à résoudre le problème auquel vous êtes confronté.
Les chevaux de Troie ASP actuellement populaires utilisent principalement trois technologies pour effectuer des opérations associées sur le serveur.
1. Utilisez le composant FileSystemObject
FileSystemObject pour effectuer des opérations régulières sur les fichiers.
Vous pouvez empêcher les dommages causés par ces chevaux de Troie en modifiant le registre et en renommant ce composant.
HKEY_CLASSES_ROOTScripting.FileSystemObject
Remplacez le nom par un autre nom, tel que : FileSystemObject_ChangeName.
Lorsque vous l'appellerez ultérieurement, vous pourrez l'utiliser pour appeler ce composant normalement.
Remplacez également la valeur clsid par
la valeur du projet HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID
. ou supprimez-le pour éviter les dommages causés par ces chevaux de Troie.
Annulez l'enregistrement de cette commande de composant : RegSrv32 /u C:WINNTSYSTEMscrrun.dll
Interdit aux utilisateurs invités d'utiliser scrrun.dll pour empêcher l'appel de ce composant.
Utilisez la commande : cacls C:WINNTsystem32scrrun.dll /e /d invités
2. Utilisez le composant WScript.Shell
WScript.Shell peut appeler le noyau système pour exécuter les commandes DOS de base.
Vous pouvez modifier le registre et le renommer. composant pour prévenir les dangers de ces chevaux de Troie.
HKEY_CLASSES_ROOTWScript.Shell et HKEY_CLASSES_ROOTWScript.Shell.1
Remplacez le nom par un autre nom, tel que : WScript.Shell_ChangeName ou WScript.Shell.1_ChangeName.
Lorsque vous l'appelez ultérieurement, vous pouvez l'utiliser pour appeler ce composant normalement.
Modifiez également la valeur clsid en
HKEY_CLASSES_ROOTWScript.Shell. Projet CLSID. La valeur du projet HKEY_CLASSES_ROOTWScript.Shell.1CLSID
peut également être supprimée pour éviter les dommages causés par de tels chevaux de Troie.
3. À l'aide du composant Shell.Application,
Shell.Application peut appeler le noyau du système pour exécuter des commandes DOS de base.
Vous pouvez modifier le registre et renommer ce composant pour éviter les dommages causés par de tels chevaux de Troie.
HKEY_CLASSES_ROOTShell.Application
et HKEY_CLASSES_ROOTShell.Application.1
Remplacez le nom par un autre nom, tel que : Shell.Application_ChangeName ou Shell.Application.1_ChangeName.
Vous pouvez l'utiliser pour appeler ce composant normalement lorsque vous l'appelez ultérieurement.
Modifiez également la valeur clsid en
HKEY_CLASSES_ROOTShell.Application. Projet CLSID. La valeur du projet HKEY_CLASSES_ROOTShell.ApplicationCLSID
peut également être supprimée pour éviter les dommages causés par ces chevaux de Troie.
Empêchez les utilisateurs invités d’utiliser shell32.dll pour empêcher l’appel de ce composant.
Utilisez la commande : cacls C:WINNTsystem32shell32.dll /e /d invités
Remarque : Toutes les opérations nécessitent le redémarrage du service WEB pour prendre effet.
4. Appelez Cmd.exe
pour empêcher les utilisateurs du groupe Invités d'appeler cmd.exe
Les invités cacls C:WINNTsystem32Cmd.exe /e /d
peuvent essentiellement empêcher plusieurs chevaux de Troie populaires grâce aux paramètres en quatre étapes ci-dessus, mais le moyen le plus efficace consiste à utiliser des paramètres de sécurité complets pour garantir la sécurité du serveur et du programme uniquement lorsque. certaines normes sont atteintes, le niveau de sécurité peut-il être fixé plus haut pour empêcher davantage d'intrusions illégales.