Se o seu servidor estiver sendo afetado por cavalos de Tróia ASP, espero que este artigo possa ajudá-lo a resolver o problema que você está enfrentando.
Os atualmente populares Trojans ASP usam principalmente três tecnologias para realizar operações relacionadas no servidor.
1. Use o componente FileSystemObject
FileSystemObject para realizar operações regulares em arquivos.
Você pode evitar danos a esses Trojans modificando o registro e renomeando este componente.
HKEY_CLASSES_ROOTScripting.FileSystemObject
Altere o nome para outro nome, como: FileSystemObject_ChangeName
Ao
chamá-lo no futuro, você poderá usar isso para chamar o componente normalmente.
O valor do projeto HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID
também pode ser excluído para evitar danos a tais Trojans.
Comando cancelar o registro deste componente: RegSrv32 /u C:WINNTSYSTEMscrrun.dll?
Proibir que usuários convidados usem scrrun.dll para evitar chamar este componente.
Use o comando: cacls C:WINNTsystem32scrrun.dll /e /d guest
2. Use o componente WScript.Shell
WScript.Shell pode chamar o kernel do sistema para executar comandos básicos do DOS.
Você pode modificar o registro e renomeá-lo. componente para prevenir os perigos de tais Trojans.
HKEY_CLASSES_ROOTWScript.Shell
e
HKEY_CLASSES_ROOTWScript.Shell.1
Altere o nome para outro nome, como: WScript.Shell_ChangeName ou WScript.Shell.1_ChangeName
Quando
você chamá-lo no futuro, você pode usar isso para chamar o componente normalmente.
HKEY_CLASSES_ROOTWScript.ShellCLSIDValor do projeto
O valor do projeto HKEY_CLASSES_ROOTWScript.Shell.1CLSID
também pode ser excluído para evitar danos a tais Trojans.
3. Usando o componente Shell.Application
Shell.Application pode chamar o kernel do sistema para executar comandos básicos do DOS.
Você pode modificar o registro e renomear este componente para evitar danos a esses Trojans.
HKEY_CLASSES_ROOTShell.Application
e
HKEY_CLASSES_ROOTShell.Application.1
Altere o nome para outro nome, como: Shell.Application_ChangeName ou Shell.Application.1_ChangeName
Quando
você chamá-lo no futuro, você pode usar isso para chamar o componente normalmente.
HKEY_CLASSES_ROOTShell.ApplicationCLSIDValor do projeto
O valor do projeto HKEY_CLASSES_ROOTShell.ApplicationCLSID
também pode ser excluído para evitar danos a tais Trojans.
Desative os usuários convidados de usar shell32.dll para evitar que esse componente seja chamado.
Use o comando: cacls C:WINNTsystem32shell32.dll /e /d convidados
Nota: A operação requer a reinicialização do serviço WEB para ter efeito.
4. Chame Cmd.exe
para impedir que os usuários do grupo Convidados chamem cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d convidados
Por meio das configurações das quatro etapas acima, você pode basicamente impedir vários Trojans populares, mas o mais eficaz A melhor maneira é usar configurações de segurança abrangentes para garantir que a segurança do servidor e do programa atinja um determinado padrão. Só então o nível de segurança pode ser definido mais alto para evitar mais invasões ilegais.