หากเซิร์ฟเวอร์ของคุณประสบปัญหาจาก ASP Trojans ฉันหวังว่าบทความนี้จะช่วยคุณแก้ปัญหาที่คุณกำลังเผชิญอยู่ได้
โทรจัน ASP ที่ได้รับความนิยมในปัจจุบันส่วนใหญ่ใช้เทคโนโลยีสามประการเพื่อดำเนินการที่เกี่ยวข้องบนเซิร์ฟเวอร์
1. ใช้ส่วนประกอบ FileSystemObject
FileSystemObject เพื่อดำเนินการกับไฟล์เป็นประจำ
คุณสามารถป้องกันอันตรายจากโทรจันดังกล่าวได้โดยการแก้ไขรีจิสทรีและเปลี่ยนชื่อส่วนประกอบนี้
HKEY_CLASSES_ROOTScripting.FileSystemObject
เปลี่ยนชื่อเป็นชื่ออื่น เช่น: FileSystemObject_ChangeName
เมื่อคุณเรียกมันในอนาคต คุณสามารถใช้สิ่งนี้เพื่อเรียกคอมโพเนนต์ได้ตามปกติ
นอกจากนี้ คุณควรเปลี่ยนค่า clsid ด้วย
ค่าของโปรเจ็กต์ HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID
ยังสามารถลบได้เพื่อป้องกันอันตรายจากโทรจันดังกล่าว
ยกเลิกการลงทะเบียนคำสั่งคอมโพเนนต์นี้: RegSrv32 /u C:WINNTSYSTEMscrrun.dll
ห้ามผู้ใช้ Guest ใช้ scrrun.dll เพื่อป้องกันการเรียกคอมโพเนนต์นี้
ใช้คำสั่ง: cacls C:WINNTsystem32scrrun.dll /e /d guest
2. ใช้คอมโพเนนต์ WScript.Shell
WScript.Shell สามารถเรียกเคอร์เนลของระบบเพื่อรันคำสั่ง DOS พื้นฐาน
คุณสามารถแก้ไขรีจิสทรีและเปลี่ยนชื่อได้ องค์ประกอบในการป้องกันอันตรายจากโทรจันดังกล่าว
HKEY_CLASSES_ROOTWScript.เชลล์
และ
HKEY_CLASSES_ROOTWScript.Shell.1
เปลี่ยนชื่อเป็นชื่ออื่น เช่น WScript.Shell_ChangeName หรือ WScript.Shell.1_ChangeName
เมื่อคุณเรียกมันในอนาคต คุณสามารถใช้สิ่งนี้เพื่อเรียกส่วนประกอบได้ตามปกติ
นอกจากนี้ คุณควรเปลี่ยนค่า clsid ด้วย
ค่า HKEY_CLASSES_ROOTWScript.ShellCLSIDProject
ค่าของโปรเจ็กต์ HKEY_CLASSES_ROOTWScript.Shell.1CLSID
สามารถลบได้เพื่อป้องกันอันตรายจากโทรจันดังกล่าว
3. การใช้ส่วนประกอบ Shell.Application
Shell.Application สามารถเรียกเคอร์เนลของระบบเพื่อรันคำสั่ง DOS พื้นฐานได้
คุณสามารถแก้ไขรีจิสทรีและเปลี่ยนชื่อส่วนประกอบนี้เพื่อป้องกันอันตรายจากโทรจันดังกล่าว
HKEY_CLASSES_ROOTShell.Application
และ
HKEY_CLASSES_ROOTShell.Application.1
เปลี่ยนชื่อเป็นชื่ออื่น เช่น: Shell.Application_ChangeName หรือ Shell.Application.1_ChangeName
เมื่อคุณเรียกมันในอนาคต คุณสามารถใช้สิ่งนี้เพื่อเรียกส่วนประกอบได้ตามปกติ
นอกจากนี้ คุณควรเปลี่ยนค่า clsid ด้วย
ค่า HKEY_CLASSES_ROOTShell.ApplicationCLSIDProject
ค่าของโปรเจ็กต์ HKEY_CLASSES_ROOTShell.ApplicationCLSID
ยังสามารถลบได้เพื่อป้องกันอันตรายจากโทรจันดังกล่าว
ปิดการใช้งานผู้ใช้ทั่วไปจากการใช้ shell32.dll เพื่อป้องกันไม่ให้คอมโพเนนต์นี้ถูกเรียก
ใช้คำสั่ง: cacls C:WINNTsystem32shell32.dll /e /d guest
หมายเหตุ: การดำเนินการจำเป็นต้องรีสตาร์ทบริการเว็บจึงจะมีผล
4. โทร Cmd.exe
เพื่อปิดการใช้งานผู้ใช้กลุ่มแขกจากการเรียกแขก cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d แขก
ด้วยการตั้งค่าสี่ขั้นตอนข้างต้น คุณสามารถป้องกันโทรจันยอดนิยมหลายตัวได้ แต่วิธีที่ดีที่สุดคือใช้การตั้งค่าความปลอดภัยที่ครอบคลุมเพื่อให้แน่ใจว่าความปลอดภัยของเซิร์ฟเวอร์และโปรแกรมถึงมาตรฐานที่กำหนดเท่านั้น จากนั้นจึงจะสามารถตั้งค่าระดับความปลอดภัยให้สูงขึ้นเพื่อป้องกันการบุกรุกที่ผิดกฎหมายได้มากขึ้น