Популярные в настоящее время трояны ASP в основном используют три технологии для выполнения связанных операций на сервере.
1. Используйте компонент FileSystemObject.
FileSystemObject может выполнять обычные операции с файлами.
Вы можете предотвратить вред от таких троянов, изменив реестр и переименовав этот компонент.
HKEY_CLASSES_ROOTScripting.FileSystemObject
Измените имя на другое имя, например: FileSystemObject_ChangeName.
Вы можете использовать это для обычного вызова этого компонента при его вызове в будущем.
Также измените значение clsid
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSIDЗначение проекта
Вы также можете удалить его, чтобы предотвратить вред от таких троянов.
Отмените регистрацию этого компонента командой: RegSrv32 /u C:WINNTSYSTEMscrrun.dll.
Запретите гостевым пользователям использовать scrrun.dll, чтобы предотвратить вызов этого компонента.
Используйте команду: cacls C:WINNTsystem32scrrun.dll /e /d Guest
2. Используйте компонент WScript.Shell.
WScript.Shell может вызывать ядро системы для выполнения основных команд DOS.
Вы можете предотвратить вред от таких троянов, изменив реестр и переименовав этот компонент.
HKEY_CLASSES_ROOTWScript.Shell
и
HKEY_CLASSES_ROOTWScript.Shell.1
Измените имя на другое имя, например: WScript.Shell_ChangeName или WScript.Shell.1_ChangeName.
Вы можете использовать это для обычного вызова этого компонента при его вызове в будущем.
Также измените значение clsid
Значение HKEY_CLASSES_ROOTWScript.ShellCLSIDProject
HKEY_CLASSES_ROOTWScript.Shell.1CLSIDзначение проекта
Вы также можете удалить его, чтобы предотвратить вред от таких троянов.
3. Используйте компонент Shell.Application.
Shell.Application может вызывать ядро системы для выполнения основных команд DOS.
Вы можете предотвратить вред от таких троянов, изменив реестр и переименовав этот компонент.
HKEY_CLASSES_ROOTShell.Application
и
HKEY_CLASSES_ROOTShell.Application.1
Измените имя на другое имя, например: Shell.Application_ChangeName или Shell.Application.1_ChangeName.
Вы можете использовать это для обычного вызова этого компонента при его вызове в будущем.
Также измените значение clsid
HKEY_CLASSES_ROOTShell.ApplicationCLSIDЗначение проекта
HKEY_CLASSES_ROOTShell.ApplicationCLSIDЗначение проекта
Вы также можете удалить его, чтобы предотвратить вред от таких троянов.
Отключите гостевые пользователи от использования Shell32.dll, чтобы предотвратить вызов этого компонента.
Используйте команду: cacls C:WINNTsystem32shell32.dll /e /d Guest
Примечание. Для вступления всех операций в силу требуется перезапуск веб-службы.
4. Вызовите Cmd.exe.
Запретить пользователям группы «Гости» вызывать cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d гости
Вышеупомянутые четырехэтапные настройки могут в основном предотвратить несколько популярных в настоящее время троянов, но наиболее эффективным способом является использование комплексных настроек безопасности, чтобы безопасность сервера и программы достигла определенного стандарта. Только тогда можно установить более высокий уровень безопасности, чтобы предотвратить большее количество вторжений. .