หากเซิร์ฟเวอร์ของคุณประสบปัญหาจาก ASP Trojans ฉันหวังว่าบทความนี้จะช่วยคุณแก้ปัญหาที่คุณกำลังเผชิญอยู่ได้
โทรจัน ASP ที่ได้รับความนิยมในปัจจุบันส่วนใหญ่ใช้เทคโนโลยีสามประการเพื่อดำเนินการที่เกี่ยวข้องบนเซิร์ฟเวอร์
1. ใช้ส่วนประกอบ FileSystemObject
FileSystemObject เพื่อดำเนินการกับไฟล์เป็นประจำ
คุณสามารถป้องกันอันตรายจากโทรจันดังกล่าวได้โดยการแก้ไขรีจิสทรีและเปลี่ยนชื่อส่วนประกอบนี้
HKEY_CLASSES_ROOTScripting.FileSystemObject
เปลี่ยนชื่อเป็นชื่ออื่น เช่น FileSystemObject_ChangeName
เมื่อคุณเรียกมันในอนาคต คุณสามารถใช้สิ่งนี้เพื่อเรียกส่วนประกอบนี้ได้ตามปกติ
และเปลี่ยนค่า clsid เป็น
ค่าของโครงการ HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID
หรือลบออกเพื่อป้องกันอันตรายจากโทรจันดังกล่าว
ยกเลิกการลงทะเบียนคำสั่งคอมโพเนนต์นี้: RegSrv32 /u C:WINNTSYSTEMscrrun.dll
ห้ามมิให้ผู้ใช้ทั่วไปใช้ scrrun.dll เพื่อป้องกันการเรียกคอมโพเนนต์นี้
ใช้คำสั่ง: cacls C:WINNTsystem32scrrun.dll /e /d guest
2. ใช้คอมโพเนนต์ WScript.Shell
WScript.Shell สามารถเรียกเคอร์เนลของระบบเพื่อรันคำสั่ง DOS พื้นฐาน
คุณสามารถแก้ไขรีจิสทรีและเปลี่ยนชื่อได้ องค์ประกอบในการป้องกันอันตรายจากโทรจันดังกล่าว
HKEY_CLASSES_ROOTWScript.Shell และ HKEY_CLASSES_ROOTWScript.Shell.1
เปลี่ยนชื่อเป็นชื่ออื่น เช่น WScript.Shell_ChangeName หรือ WScript.Shell.1_ChangeName
เมื่อคุณเรียกมันในอนาคต คุณสามารถใช้สิ่งนี้เพื่อเรียกส่วนประกอบนี้ได้ตามปกติ
นอกจากนี้ ให้เปลี่ยนค่า clsid เป็น
HKEY_CLASSES_ROOTWScript.Shell CLSID project ค่าของโครงการ HKEY_CLASSES_ROOTWScript.Shell.1CLSID
สามารถลบได้เพื่อป้องกันอันตรายจากโทรจันดังกล่าว
3. การใช้ส่วนประกอบ Shell.Application
Shell.Application สามารถเรียกเคอร์เนลของระบบเพื่อรันคำสั่ง DOS พื้นฐานได้
คุณสามารถแก้ไขรีจิสทรีและเปลี่ยนชื่อส่วนประกอบนี้เพื่อป้องกันอันตรายจากโทรจันดังกล่าว
HKEY_CLASSES_ROOTShell.Application
และ HKEY_CLASSES_ROOTShell.Application.1
เปลี่ยนชื่อเป็นชื่ออื่น เช่น: Shell.Application_ChangeName หรือ Shell.Application.1_ChangeName
คุณสามารถใช้สิ่งนี้เพื่อเรียกส่วนประกอบนี้ได้ตามปกติเมื่อคุณเรียกมันในอนาคต
นอกจากนี้ ให้เปลี่ยนค่า clsid เป็น
HKEY_CLASSES_ROOTShell.Application CLSID project ค่าของโครงการ HKEY_CLASSES_ROOTShell.ApplicationCLSID
สามารถลบได้เพื่อป้องกันอันตรายจากโทรจันดังกล่าว
ปิดการใช้งานผู้ใช้ทั่วไปจากการใช้ shell32.dll เพื่อป้องกันไม่ให้คอมโพเนนต์นี้ถูกเรียก
ใช้คำสั่ง: cacls C:WINNTsystem32shell32.dll /e /d guest
หมายเหตุ: การดำเนินการทั้งหมดจำเป็นต้องรีสตาร์ทบริการเว็บจึงจะมีผล
4. โทร Cmd.exe
เพื่อปิดการใช้งานผู้ใช้กลุ่มแขกจากการเรียก cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d แขก
สามารถป้องกันโทรจันยอดนิยมหลายตัวผ่านการตั้งค่าสี่ขั้นตอนข้างต้น แต่วิธีที่มีประสิทธิภาพมากที่สุดคือการใช้การตั้งค่าความปลอดภัยที่ครอบคลุมเพื่อให้มั่นใจถึงความปลอดภัยของเซิร์ฟเวอร์และโปรแกรมเฉพาะเมื่อเท่านั้น ถึงมาตรฐานที่กำหนดสามารถตั้งค่าระดับความปลอดภัยให้สูงขึ้นเพื่อป้องกันการบุกรุกที่ผิดกฎหมายมากขึ้น