サーバーが ASP トロイの木馬によって問題を抱えている場合、この記事が直面している問題の解決に役立つことを願っています。
現在流行している ASP トロイの木馬は、主に 3 つのテクノロジーを使用してサーバー上で関連操作を実行します。
1. FileSystemObject コンポーネント
FileSystemObject を使用して、ファイルに対して通常の操作を実行します。
レジストリを変更し、このコンポーネントの名前を変更することで、このようなトロイの木馬の被害を防ぐことができます。
HKEY_CLASSES_ROOTScripting.FileSystemObject
名前を別の名前 (FileSystemObject_ChangeName など) に変更します。
これを使用して、通常どおりこのコンポーネントを呼び出すこともできます。
また、 clsid 値を
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID プロジェクトの値
に変更します。このようなトロイの木馬の被害を防ぐため。
このコンポーネントの登録を解除するコマンド: RegSrv32 /u C:WINNTSYSTEMscrrun.dll
ゲスト ユーザーが scrrun.dll を使用してこのコンポーネントを呼び出すことを禁止します。
次のコマンドを使用します。 cacls C:WINNTsystem32scrrun.dll /e /d guest
2. WScript.Shell コンポーネントを使用します。
WScript.Shell は、システム カーネルを呼び出して、基本的な DOS コマンドを実行できます。
レジストリを変更し、その名前を変更できます
。このようなトロイの木馬の危険を防ぐコンポーネント。
HKEY_CLASSES_ROOTWScript.Shell および HKEY_CLASSES_ROOTWScript.Shell.1
を
別の名前 (WScript.Shell_ChangeName または WScript.Shell.1_ChangeName など) に変更します。
これ
を使用して、このコンポーネントを通常どおり呼び出すこともできます。
CLSID プロジェクト。HKEY_CLASSES_ROOTWScript.Shell.1CLSID プロジェクトの値を
削除して、このようなトロイの木馬の被害を防ぐこともできます。
3. Shell.Application コンポーネントの使用
Shell.Application は、システム カーネルを呼び出して基本的な DOS コマンドを実行できます。
このようなトロイの木馬の被害を防ぐために、レジストリを変更してこのコンポーネントの名前を変更できます。
HKEY_CLASSES_ROOTShell.Application
および HKEY_CLASSES_ROOTShell.Application.1
名前を別の名前 (Shell.Application_ChangeName または Shell.Application.1_ChangeName など) に変更します。
これを使用して、今後このコンポーネントを呼び出すときに、
clsid 値を
HKEY_CLASSES_ROOTShell.Application
に変更することもできます。CLSID プロジェクト。このようなトロイの木馬の被害を防ぐために、HKEY_CLASSES_ROOTShell.ApplicationCLSID プロジェクトの値
も削除できます。
このコンポーネントが呼び出されないようにするには、ゲスト ユーザーが shell32.dll を使用できないようにします。
コマンドを使用します: cacls C:WINNTsystem32shell32.dll /e /d guest
注: すべての操作を有効にするには、WEB サービスを再起動する必要があります。
4. Cmd.exe を呼び出して、
Guests グループのユーザーが cmd.exe を呼び出せないようにします。
cacls C:WINNTsystem32Cmd.exe /e /d ゲストは
基本的に、上記の 4 段階の設定を通じていくつかの一般的なトロイの木馬を防ぐことができますが、最も効果的な方法は、サーバーとプログラムのセキュリティを確保するために包括的なセキュリティ設定を使用することです。一定の基準に達したら、セキュリティ レベルを高く設定して、さらなる不法侵入を防ぐことができます。