www.zjcoo.com

 　　Web服務器(qì)就好比是人(rén)類的健康，沒有(yǒu)了健康就沒有(yǒu)辦法去工作(zuò)，沒有(yǒu)辦法維持正常工作(zuò)，web服務器(qì)對于網站(zhàn)來(lái)說就是這樣，如果它出了問題，網站(zhàn)也肯定會(huì)出問題，所以我們有(yǒu)那(nà)個(gè)必要保護我們的web服務器(qì)不受侵害!

　　最簡單的辦法是直接卸載後删除相應的程序文件。将下面的代碼保存為(wèi)一個(gè).BAT文件，( 以下均以 WIN2000 為(wèi)例，如果使用2003，則系統文件夾應該是 C:\WINDOWS\ )

　　regsvr32/u C:\WINNT\System32\wshom.ocx

　　del C:\WINNT\System32\wshom.ocx

　　regsvr32/u C:\WINNT\system32\shell32.dll

　　del C:\WINNT\system32\shell32.dll

　　然後運行(xíng)一下，WScript.Shell, Shell.application, WScript.Network就會(huì)被卸載了。可(kě)能會(huì)提示無法删除文件，不用管它，重啓一下服務器(qì)，你(nǐ)會(huì)發現這三個(gè)都提示“×安全”了。

　　如何卸載Wscript.Shell等對象

　　1、卸載wscript.shell對象

　　在cmd下運行(xíng)：regsvr32 WSHom.Ocx /u

　　2、卸載FSO對象

　　在cmd下運行(xíng)：regsvr32.exe scrrun.dll /u

　　3、卸載stream對象

　　在cmd下運行(xíng)：

　　regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"

　　如果要重新啓用：請(qǐng)把/u參數(shù)對掉就行(xíng)了!

　　禁止WScript.Shell

　　防範此類病毒的方法就是将Windows scripting host卸載掉，

　　具體(tǐ)方法是：我的電(diàn)腦(nǎo)→控制(zhì)面闆→添加/删除程序→安裝WINDOWS→

　　附件→詳細資料→Windows scripting host→确定。其實還(hái)有(yǒu)一種方法更簡單，

　　依次鍵入下面兩段命令：regsvr32/u wshom.ocx回車(chē)、regsvr32/u wshext.dll回車(chē)，

　　就可(kě)以把注冊表中.wsh對象的注冊值删掉。這樣那(nà)些(xiē)必須依靠對象運行(xíng)的病毒就因

　　為(wèi)找不着對象而無法運行(xíng)下去。

　　防範Wscript.Shell組件的方法：

　　可(kě)以通(tōng)過修改注冊表，将此組件改名。

　　HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

　　改名為(wèi)其它的名字，如：改為(wèi)WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以後調用的時(shí)候使用這個(gè)就可(kě)以正常調用此組件了

　　也要将clsid值也改一下

　　HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值

　　HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值

　　也可(kě)以将其删除，來(lái)防止此類木馬的危害。

　　防範Shell.Application組件的方法：

　　可(kě)以通(tōng)過修改注冊表，将此組件改名。

　　HKEY_CLASSES_ROOT\Shell.Application\

　　及

　　HKEY_CLASSES_ROOT\Shell.Application.1\改名為(wèi)其它的名字，如：改為(wèi)Shell.Application_ChangeName或Shell.Application.1_ChangeName 自己以後調用的時(shí)候使用這個(gè)就可(kě)以正常調用此組件了。

　　也要将clsid值也改一下

　　HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值

　　HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值

　　也可(kě)以将其删除，來(lái)防止此類木馬的危害。

　　======================================================

　　以上(shàng)是海洋中的相關代碼，從上(shàng)面的代碼我們不難看出一般ASP木馬、Webshell主要利用了以下幾類ASP組件：

　　① WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)

　　② WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)

　　③ WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74)

　　④ WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)

　　⑤ FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)

　　⑥ Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})

　　⑦ Shell.applicaiton....

　　hehe，這下我們清楚了危害我們WEB SERVER IIS的最罪魁禍首是誰了!!開(kāi)始操刀,come on...

　　2:解決辦法：

　　① 删除或更名以下危險的ASP組件：

　　WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、

　　Shell.application 開(kāi)始------->運行(xíng)--------->Regedit，打開(kāi)注冊表編輯器(qì)，按Ctrl+F查找，依次輸入以上(shàng)

　　Wscript.Shell等組件名稱以及相應的ClassID，然後進行(xíng)删除或者更改名稱(這裏建議大(dà)家(jiā)更名，如果有(yǒu)部分網頁ASP程序利用了上(shàng)面的組件的話(huà)呢，隻需在将寫ASP代碼的時(shí)候用我們更改後的組件名稱即可(kě)正常使用。當然如果你(nǐ)确信你(nǐ)的ASP程序中沒有(yǒu)用到以上(shàng)組件，還(hái)是直接删除心中踏實一些(xiē)^_^,按常規一般來(lái)說是不會(huì)做(zuò)到以上(shàng)這些(xiē)組件的。删除或更名後，iisreset重啓IIS後即可(kě)升效。)

　　[注意：由于Adodb.Stream這個(gè)組件有(yǒu)很(hěn)多(duō)網頁中将用到，所以如果你(nǐ)的服務器(qì)是開(kāi)虛拟主機的話(huà)，建議酢情處理(lǐ)。]

　　② 關于 File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常說的FSO的安全問題，如果您的服務器(qì)必需要用到FSO的話(huà)，(部分虛拟主機服務器(qì)一般需開(kāi)FSO功能)可(kě)以參照本人(rén)的另一篇關于FSO安全解決辦法的文章:Microsoft Windows 2000 Server FSO 安全隐患解決辦法。如果您确信不要用到的話(huà)，可(kě)以直接反注冊此組件即可(kě)。

　　③ 直接反注冊、卸載這些(xiē)危險組件的方法：(實用于不想用①及②類此類煩瑣的方法)

　　卸載wscript.shell對象，在cmd下或直接運行(xíng)：regsvr32 /u %windir%/system32/WSHom.Ocx

　　卸載FSO對象,在cmd下或直接運行(xíng)：regsvr32.exe /u %windir%/system32/scrrun.dll

　　卸載stream對象,在cmd下或直接運行(xíng)： regsvr32 /s /u "C:/Program Files/Common Files/System/ado/msado15.dll" 如果想恢複的話(huà)隻需要去掉 /U 即可(kě)重新再注冊以上(shàng)相關ASP組件例如：regsvr32.exe %windir%/system32/scrrun.dll

　　④ 關于Webshell中利用set domainObject = GetObject("WinNT://.")來(lái)獲取服務器(qì)的進程、服務以及用戶等信息的防範，大(dà)家(jiā)可(kě)以将服務中的Workstation[提供網絡鏈結和(hé)通(tōng)訊]即Lanmanworkstation服務停止并禁用即可(kě)。此處理(lǐ)後，Webshell顯示進程處将為(wèi)空(kōng)白。

　　3 按照上(shàng)1、2方法對ASP類危險組件進行(xíng)處理(lǐ)後，用阿江的asp探針測試了一下,"服務器(qì)CPU詳情"和(hé)"服務器(qì)操作(zuò)系統"根本查不到,內(nèi)容為(wèi)空(kōng)白的。再用海洋測試Wsript.Shell來(lái)運行(xíng)cmd命令也是提示Active無法創建對像。

　　至此，我們就不用擔心web服務器(qì)受到侵害。如果受到黑(hēi)客的惡意攻擊，那(nà)就要看公司內(nèi)部是否有(yǒu)人(rén)才能夠解決此類事件，或者咨詢專業的公司，不要忽視(shì)它，要重視(shì)它!

重慶中技互聯網信息咨詢有限公司 www.zjcoo.com