对于使用asp脚本架设的网站而言,最令站长头痛的就是asp 木马,不少站长抱怨:我的网站漏洞补丁是补了又补,可是黑客还是有办法上传asp木马,控制我的网站。这些asp木马的功能很强大,不仅可以管理我网站中的文件,还可以浏览整个硬盘中的文件,有的甚至还可以执行命令系统进行提权。那么如何才能彻底杜绝asp木马呢?光靠防御是不够的,我们要从根本入手,让asp木马成为一堆废物。 可见,asp 木马是通过调用服务器上的组件来实现自己的功能的,如果我们把这些危险组件删除,那么asp木马也就失去了作用。但删除组件后,调用这些组件的网站也将无法运行,所以本文的目的是修改组件的名称而不删除,这样只要修改网站,就可以正常使用组件,而asp木马则彻底无法运行了。 一、修改FileSystemObject 组件 修改方案:进入注册表,将HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ 改名为其它的名字,如改为FileSystemObject123,将网站中调用组件的名字也修改为这个就可以正常调用此组件了。此外,我们需要将clsid值也改一下,因为有些asp 木马是直接调用组件的clsid 值的,位置为:HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\ 二、修改WScript.Shell组件 修改方案:将HKEY_CLASSES_ROOT\WScript.Shell\ 及HKEY_CLASSES_ROOT\WScript.Shell.1\改名为其它的名字,如改为:WScript.Shell123。同时修改clsid值,位置有: HKEY_CLASSES_ROOT\WScript.Shell\CLSID\ HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\ 三、修改Shell.Application 组件 修改方案:将HKEY_CLASSES_ROOT\Shell.Application\ 及HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字,如改为Shell.Application123或Shell.Application.1123。同时修改clsid值,位置有: HKEY_CLASSES_ROOT\Shell.Application\CLSID\ HKEY_CLASSES_ROOT\Shell.Application\CLSID\ 修改完成后,关闭注册表即可让修改生效。为保险起见,建议站长先将原来注册表中的组件信息导出,方便以后的恢复工作。 |