Si votre serveur est perturbé par des chevaux de Troie ASP, j'espère que cet article pourra vous aider à résoudre le problème auquel vous êtes confronté.
Les chevaux de Troie ASP actuellement populaires utilisent principalement trois technologies pour effectuer des opérations associées sur le serveur.
1. Utilisez le composant FileSystemObject
FileSystemObject pour effectuer des opérations régulières sur les fichiers.
Vous pouvez empêcher les dommages causés par ces chevaux de Troie en modifiant le registre et en renommant ce composant.
HKEY_CLASSES_ROOTScripting.FileSystemObject
Remplacez le nom par un autre nom, tel que : FileSystemObject_ChangeName.
Lorsque vous l'appellerez ultérieurement, vous pourrez l'utiliser pour appeler le composant normalement.
Vous devez également modifier la valeur clsid.
La valeur du projet HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID
peut également être supprimée pour éviter les dommages causés par ces chevaux de Troie.
Annulez l'enregistrement de cette commande de composant : RegSrv32 /u C:WINNTSYSTEMscrrun.dll ?
Interdire aux utilisateurs invités d'utiliser scrrun.dll pour empêcher l'appel de ce composant.
Utilisez la commande : cacls C:WINNTsystem32scrrun.dll /e /d invités
2. Utilisez le composant WScript.Shell
WScript.Shell peut appeler le noyau système pour exécuter les commandes DOS de base.
Vous pouvez modifier le registre et le renommer. composant pour prévenir les dangers de ces chevaux de Troie.
HKEY_CLASSES_ROOTWScript.Shell
et
HKEY_CLASSES_ROOTWScript.Shell.1
Remplacez le nom par un autre nom, tel que : WScript.Shell_ChangeName ou WScript.Shell.1_ChangeName.
Lorsque vous l'appellerez ultérieurement, vous pourrez l'utiliser pour appeler le composant normalement.
Vous devez également modifier la valeur clsid.
Valeur HKEY_CLASSES_ROOTWScript.ShellCLSIDProject
La valeur du projet HKEY_CLASSES_ROOTWScript.Shell.1CLSID
peut également être supprimée pour éviter les dommages causés par ces chevaux de Troie.
3. À l'aide du composant Shell.Application,
Shell.Application peut appeler le noyau du système pour exécuter des commandes DOS de base.
Vous pouvez modifier le registre et renommer ce composant pour éviter les dommages causés par de tels chevaux de Troie.
HKEY_CLASSES_ROOTShell.Application
et
HKEY_CLASSES_ROOTShell.Application.1
Remplacez le nom par un autre nom, tel que : Shell.Application_ChangeName ou Shell.Application.1_ChangeName.
Lorsque vous l'appellerez ultérieurement, vous pourrez l'utiliser pour appeler le composant normalement.
Vous devez également modifier la valeur clsid.
Valeur HKEY_CLASSES_ROOTShell.ApplicationCLSIDProject
La valeur du projet HKEY_CLASSES_ROOTShell.ApplicationCLSID
peut également être supprimée pour éviter les dommages causés par ces chevaux de Troie.
Empêchez les utilisateurs invités d’utiliser shell32.dll pour empêcher l’appel de ce composant.
Utilisez la commande : cacls C:WINNTsystem32shell32.dll /e /d invités
Remarque : L'opération nécessite le redémarrage du service WEB pour prendre effet.
4. Appelez Cmd.exe
pour empêcher les utilisateurs du groupe Invités d'appeler cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d invités
Grâce aux paramètres des quatre étapes ci-dessus, vous pouvez essentiellement empêcher plusieurs chevaux de Troie populaires, mais le plus efficace Le meilleur moyen est d'utiliser des paramètres de sécurité complets pour garantir que la sécurité du serveur et des programmes atteint un certain niveau. Ce n'est qu'alors que le niveau de sécurité pourra être défini plus haut pour empêcher davantage d'intrusions illégales.