Se o seu servidor estiver sendo afetado por cavalos de Tróia ASP, espero que este artigo possa ajudá-lo a resolver o problema que você está enfrentando.
Os atualmente populares Trojans ASP usam principalmente três tecnologias para realizar operações relacionadas no servidor.
1. Use o componente FileSystemObject
FileSystemObject para realizar operações regulares em arquivos.
Você pode evitar danos a esses Trojans modificando o registro e renomeando este componente.
HKEY_CLASSES_ROOTScripting.FileSystemObject
Altere o nome para outro nome, como: FileSystemObject_ChangeName
Quando você chamá-lo no futuro, poderá usar isso para chamar este componente normalmente.
Altere também o valor clsid para
o valor do projeto HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID
. ou excluí-lo para evitar danos causados por tais Trojans.
Comando de cancelamento de registro deste componente: RegSrv32 /u C:WINNTSYSTEMscrrun.dll
Proíbe que usuários convidados usem scrrun.dll para evitar a chamada deste componente.
Use o comando: cacls C:WINNTsystem32scrrun.dll /e /d guest
2. Use o componente WScript.Shell
WScript.Shell pode chamar o kernel do sistema para executar comandos básicos do DOS.
Você pode modificar o registro e renomeá-lo. componente para prevenir os perigos de tais Trojans.
HKEY_CLASSES_ROOTWScript.Shell e HKEY_CLASSES_ROOTWScript.Shell.1
Altere o nome para outro nome, como: WScript.Shell_ChangeName ou WScript.Shell.1_ChangeName
Ao
chamá-lo no futuro, você pode usar isso para chamar este componente normalmente
. Projeto CLSID. O valor do projeto HKEY_CLASSES_ROOTWScript.Shell.1CLSID
também pode ser excluído para evitar danos a esses Trojans.
3. Usando o componente Shell.Application
Shell.Application pode chamar o kernel do sistema para executar comandos básicos do DOS.
Você pode modificar o registro e renomear este componente para evitar danos a esses Trojans.
HKEY_CLASSES_ROOTShell.Application
e HKEY_CLASSES_ROOTShell.Application.1
Altere o nome para outro nome, como: Shell.Application_ChangeName ou Shell.Application.1_ChangeName
Você
pode
usar isso para chamar esse componente normalmente quando chamá-lo no futuro.
Projeto CLSID O valor do projeto HKEY_CLASSES_ROOTShell.ApplicationCLSID
também pode ser excluído para evitar danos a esses Trojans.
Desative os usuários convidados de usar shell32.dll para evitar que esse componente seja chamado.
Use o comando: cacls C:WINNTsystem32shell32.dll /e /d convidados
Nota: Todas as operações requerem a reinicialização do serviço WEB para terem efeito.
4. Chame Cmd.exe
para impedir que usuários do grupo Convidados liguem para cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d convidados
podem basicamente prevenir vários Trojans populares por meio das configurações de quatro etapas acima, mas a maneira mais eficaz é usar configurações de segurança abrangentes para garantir a segurança do servidor e do programa somente quando. certos padrões são alcançados, o nível de segurança pode ser definido mais alto para evitar mais invasões ilegais.