Если ваш сервер страдает от троянов ASP, я надеюсь, что эта статья поможет вам решить проблему, с которой вы столкнулись.
Популярные в настоящее время трояны ASP в основном используют три технологии для выполнения связанных операций на сервере.
1. Используйте компонент FileSystemObject
FileSystemObject для выполнения обычных операций с файлами.
Вы можете предотвратить вред от таких троянов, изменив реестр и переименовав этот компонент.
HKEY_CLASSES_ROOTScripting.FileSystemObject
Измените имя на другое имя, например: FileSystemObject_ChangeName.
При вызове этого компонента в будущем вы сможете использовать его для обычного вызова этого компонента.
Также измените значение clsid на
значение проекта HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID
. или удалите его, чтобы предотвратить вред от таких троянов.
Отмените регистрацию этого компонента командой: RegSrv32 /u C:WINNTSYSTEMscrrun.dll
Запрещает гостевым пользователям использовать scrrun.dll, чтобы предотвратить вызов этого компонента.
Используйте команду: cacls C:WINNTsystem32scrrun.dll /e /d Guest
2. Используйте компонент WScript.Shell.
WScript.Shell может вызывать ядро системы для выполнения основных команд DOS.
Вы можете изменить реестр и переименовать его. компонент для предотвращения опасности таких троянов.
HKEY_CLASSES_ROOTWScript.Shell и HKEY_CLASSES_ROOTWScript.Shell.1
Измените имя на другое имя, например: WScript.Shell_ChangeName или WScript.Shell.1_ChangeName.
При вызове этого компонента в будущем вы можете использовать его для обычного вызова этого компонента.
Также измените значение clsid на
HKEY_CLASSES_ROOTWScript.Shell. Проект CLSID Значение проекта HKEY_CLASSES_ROOTWScript.Shell.1CLSID
также можно удалить, чтобы предотвратить вред от таких троянов.
3. Использование компонента Shell.Application
Shell.Application может вызывать ядро системы для выполнения основных команд DOS.
Вы можете изменить реестр и переименовать этот компонент, чтобы предотвратить вред от таких троянов.
HKEY_CLASSES_ROOTShell.Application
и HKEY_CLASSES_ROOTShell.Application.1
Измените имя на другое имя, например: Shell.Application_ChangeName или Shell.Application.1_ChangeName.
Вы можете использовать это для обычного вызова этого компонента при его вызове в будущем.
Также измените значение clsid на
HKEY_CLASSES_ROOTShell.Application. Проект CLSID Значение проекта HKEY_CLASSES_ROOTShell.ApplicationCLSID
также можно удалить, чтобы предотвратить вред от таких троянов.
Отключите гостевые пользователи от использования Shell32.dll, чтобы предотвратить вызов этого компонента.
Используйте команду: cacls C:WINNTsystem32shell32.dll /e /d Guest
Примечание. Для вступления всех операций в силу требуется перезапуск веб-службы.
4. Вызовите Cmd.exe
, чтобы запретить пользователям группы «Гости» вызывать cmd.exe.
cacls C:WINNTsystem32Cmd.exe /e /d гости
могут в принципе предотвратить несколько популярных троянов с помощью вышеуказанных четырехэтапных настроек, но наиболее эффективным способом является использование комплексных настроек безопасности для обеспечения безопасности сервера и программы. Только тогда. Достигнуты определенные стандарты, можно ли установить более высокий уровень безопасности, чтобы предотвратить новые незаконные вторжения.