El principio del ataque de un troyano ASP es generalmente transferir el archivo troyano al servidor a través de una vulnerabilidad de carga de archivos y luego ejecutarlo para leer todos los datos en su sistema. Generalmente, los archivos troyanos ASP funcionan mediante componentes FSO y algunos no utilizan componentes FSO. En respuesta a la situación anterior, cómo prevenir los troyanos ASP, debe realizar los siguientes tres aspectos: 1. Establecer los permisos del servidor 2. Verificar bien el programa ASP para evitar que se exploten las vulnerabilidades 3. Cerrar o cambie los nombres de los componentes relacionados 1, 2. Para dos aspectos, puede consultar los artículos relevantes en el sitio web de Creative Thinking. Aquí hablamos principalmente del tercer aspecto 1) La mejor manera de prevenir los troyanos ASP escritos con FSO es activar. desactive la función FSO al principio: ingrese en el punto de ejecución: Regsvr32 /u c:\windows\system32\scrrun.dll Si desea utilizar este componente nuevamente, puede ingresar Regsvr32 c:\windows\system32\scrrun.dll en el punto de ejecución y vuelva a registrarlo antes de poder usarlo. Hay algunos artículos en Internet que hablan sobre cómo encontrar el valor de la clave HKEY_CLASSES_ROOT\Scripting.FileSystemObject en el registro y cambiarlo a la cadena que desee (haga clic con el botón derecho-->"Cambiar nombre"), por ejemplo, cambiándolo a HKEY_CLASSES_ROOT\Scripting. .FileSystemObject2 así. En ASP, debe hacer referencia a este objeto de esta manera: Set fso = CreateObject("Scripting.FileSystemObject2") pero no puede usarlo: Set fso = CreateObject("Scripting.FileSystemObject") Este método no funcionará porque FSO solo se puede llamar con un objeto, también puede llamar a classid, por ejemplo: esto también se puede llamar, por lo que si desea cambiarlo, puede buscar el valor de clave 0D43FE01-F093-11CF-8940-00A0C9054228 y. luego cámbielo, pero después de este cambio, FSO ya no será utilizable. Por lo tanto, se recomienda desactivar el componente. Si desea cargarlo, puede escribir un componente de carga usted mismo. Esto será más seguro. (2) Método de prevención de troyanos ASP que se puede utilizar sin objetos FSO. Del código anterior, podemos ver que el SHELL de este código es crear un objeto shell a través de shell.application. Solo necesitamos encontrar el valor clave del shell en. los valores clave .application, shell.application.1 y wscript.shell, wscript.shell.1, y luego eliminar estos valores clave pueden evitar este tipo de ataque de troyano ASP. El impacto negativo en su servidor y en el soporte ASP, etc. no se verá afectado, así que no dude en eliminarlo. También hay varias descargas de WEBSHELL en varios sitios web de piratas informáticos. Además de WEBSHELL de ASP, también hay CGI, PHP, JSP, etc. Básicamente, todos son similares y algunos WEBSHELL se ejecutan llamando al comando CMD.EXE en el sistema. Sin embargo, estos troyanos WEBSHELL que llaman al sistema del servidor CMD.EXE no pueden ejecutarse en Win2003. El WEBSHELL que puede llamar al comando CMD.EXE solo puede pasar la prueba en Win2K, aquellos WEBSHELL de ASP, CGI, PHP y JSP. ya no se puede ejecutar. Se llama al comando CMD.EXE. La razón es muy simple, porque se puede acceder al comando CMD.EXE en Win2K con permisos anónimos y de invitado de forma predeterminada, pero en el sistema Win2003, el comando CMD.EXE prohíbe el acceso anónimo de "Todos" y el acceso de grupo de "Invitados". , por lo que no se pueden ejecutar todo tipo de troyanos WEBSHELL que llamen a CMD.EXE. Esto puede considerarse como un pequeño progreso en la seguridad del sistema Win2003.
Por supuesto, cada objeto tiene un valor classid correspondiente, encuéntrelo y elimínelo wscript.shell (classid:72c24dd5-d70a-438b-8a42