サーバーが ASP トロイの木馬によって問題を抱えている場合、この記事が直面している問題の解決に役立つことを願っています。
現在流行している ASP トロイの木馬は、主に 3 つのテクノロジーを使用してサーバー上で関連操作を実行します。
1. FileSystemObject コンポーネント
FileSystemObject を使用して、ファイルに対して通常の操作を実行します。
レジストリを変更し、このコンポーネントの名前を変更することで、このようなトロイの木馬の被害を防ぐことができます。
HKEY_CLASSES_ROOTScripting.FileSystemObject
名前を別の名前 (FileSystemObject_ChangeName など) に変更します。
これを使用して通常どおりコンポーネントを呼び出すことができます。
また、clsid 値も変更する必要があります。
このようなトロイの木馬の被害を防ぐために、
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID プロジェクトの値を
削除することもできます。このコンポーネントのコマンドを登録解除します: RegSrv32 /u C:WINNTSYSTEMscrrun.dll?
このコンポーネントを呼び出すことができないように、ゲスト ユーザーが scrrun.dll を使用することを禁止します。
コマンドを使用します。 cacls C:WINNTsystem32scrrun.dll /e /d guest
2. WScript.Shell コンポーネントを使用します。
WScript.Shell は、システム カーネルを呼び出して、基本的な DOS コマンドを実行できます。
レジストリを変更し、その名前を変更できます
。このようなトロイの木馬の危険を防ぐコンポーネント。
HKEY_CLASSES_ROOTWScript.Shell
そして
HKEY_CLASSES_ROOTWScript.Shell.1
名前を別の名前 (WScript.Shell_ChangeName または WScript.Shell.1_ChangeName など) に変更する
と、これを使用して通常どおりコンポーネントを呼び出すことができます。
また、clsid 値も変更する必要があります。
HKEY_CLASSES_ROOTWScript.ShellCLSIDプロジェクトの値
このようなトロイの木馬の被害を防ぐために、
HKEY_CLASSES_ROOTWScript.Shell.1CLSID プロジェクトの値を
削除することもできます。3. Shell.Application コンポーネントの使用
Shell.Application は、システム カーネルを呼び出して基本的な DOS コマンドを実行できます。
このようなトロイの木馬の被害を防ぐために、レジストリを変更してこのコンポーネントの名前を変更できます。
HKEY_CLASSES_ROOTShell.Application
そして
HKEY_CLASSES_ROOTShell.Application.1
名前を別の名前 (Shell.Application_ChangeName または Shell.Application.1_ChangeName など) に変更する
と、これを使用して通常どおりコンポーネントを呼び出すことができます。
また、clsid 値も変更する必要があります。
HKEY_CLASSES_ROOTShell.ApplicationCLSIDプロジェクトの値
このようなトロイの木馬の被害を防ぐために、
HKEY_CLASSES_ROOTShell.ApplicationCLSID プロジェクトの値を
削除することもできます。このコンポーネントが呼び出されないようにするには、ゲスト ユーザーが shell32.dll を使用できないようにします。
コマンドを使用します: cacls C:WINNTsystem32shell32.dll /e /d guest
注: この操作を有効にするには、WEB サービスを再起動する必要があります。
4. Cmd.exe を呼び出して
、ゲスト グループ ユーザーが cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d ゲストを呼び出すことを無効にします。
上記の 4 つの手順の設定により、基本的に、いくつかの一般的なトロイの木馬を防ぐことができます。しかし、最も効果的な方法は、包括的なセキュリティ設定を使用して、サーバーとプログラムのセキュリティが一定の基準に達していることを確認することです。そうして初めて、セキュリティ レベルをより高く設定して、さらなる違法な侵入を防ぐことができます。