ASP木馬是用ASP編寫(xiě)的網(wǎng)站程序。它和其它ASP程序沒(méi)有本質(zhì)區(qū)別，只要是能運(yùn)行ASP的空間就能運(yùn)行它，這種性質(zhì)使得ASP木馬非常不易被發(fā)覺(jué)。就算是優(yōu)秀的殺毒軟件，也未必能夠檢測(cè)出它到底是ASP木馬還是正常的ASP網(wǎng)站程序?，F(xiàn)如今很多服務(wù)器自備殺毒軟件,但是部分用戶由于所用的asp程序存在各種各樣的漏洞，不免還是受到asp木馬的困擾，那么如何才能從根本上徹底清除asp木馬。

1、使用File System Object（文件系統(tǒng)對(duì)象FSO）對(duì)象

FileSystemObject可以對(duì)文件進(jìn)行常規(guī)操作

可以通過(guò)修改服務(wù)器注冊(cè)表，將此對(duì)象改名，來(lái)杜絕此類木馬的攻擊。

HKEY_CLASSES_ROOTScripting.FileSystemObject

改名為其它的名稱，如：修改為FileSystemObject_ChangeName

自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了

另外將clsid值也改一下

HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID項(xiàng)目的值

也可以將其刪除，來(lái)杜絕這類木馬的攻擊。

注銷此組件命令：RegSrv32 /u C：WINNTSYSTEMscrrun.dll

禁止Guest用戶組使用scrrun.dll來(lái)防止調(diào)用此組件。

使用命令：cacls C：WINNTsystem32scrrun.dll /e /d guests

2、使用WScript.Shell組件

WScript.Shell是WshShell對(duì)象的ProgID，創(chuàng)建WshShell對(duì)象可以運(yùn)行程序、操作注冊(cè)表、創(chuàng)建快捷方式、訪問(wèn)系統(tǒng)文件夾、管理環(huán)境變量?？梢哉{(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令

可以通過(guò)修改注冊(cè)表，將此組件改名，來(lái)防止此類木馬的危害。

HKEY_CLASSES_ROOTWScript.Shell

及

HKEY_CLASSES_ROOTWScript.Shell.1

改名為其它的名字，如：改為WScript.Shell_ChangeName或WScript.Shell.1_ChangeName

自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了

也要將clsid（CLSID是指windows系統(tǒng)對(duì)于不同的應(yīng)用程序，文件類型，OLE對(duì)象，特殊文件夾以及各種系統(tǒng)組件分配一個(gè)唯一表示它的ID代碼，用于對(duì)其身份的標(biāo)示和與其他對(duì)象進(jìn)行區(qū)分）值也改一下

HKEY_CLASSES_ROOTWScript.ShellCLSID項(xiàng)目的值

HKEY_CLASSES_ROOTWScript.Shell.1CLSID項(xiàng)目的值

也可以將其刪除，來(lái)防止此類木馬的危害。

3、使用Shell.Application組件

Shell.Application表示外殼中的對(duì)象。方法被提供于控制外殼和執(zhí)行外殼內(nèi)的命令，也有一些方法獲得其他外殼相關(guān)的對(duì)象?？梢哉{(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令

可以通過(guò)修改注冊(cè)表，將此組件改名，來(lái)防止此類木馬的危害。

HKEY_CLASSES_ROOTShell.Application

及

HKEY_CLASSES_ROOTShell.Application.1

改名為其它的名字，如：改為Shell.Application_ChangeName或Shell.Application.1_ChangeName

自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了

也要將clsid值也改一下

HKEY_CLASSES_ROOTShell.ApplicationCLSID項(xiàng)目的值

HKEY_CLASSES_ROOTShell.ApplicationCLSID項(xiàng)目的值

也可以將其刪除，來(lái)防止此類木馬的危害。

禁止Guest用戶使用shell32.dll來(lái)防止調(diào)用此組件。

使用命令：cacls C：WINNTsystem32shell32.dll /e /d guests

注：操作均需要重新啟動(dòng)WEB服務(wù)后才會(huì)生效。

4、調(diào)用Cmd.exe

禁用Guests組用戶調(diào)用cmd.exe

cacls C：WINNTsystem32Cmd.exe /e /d guests

用戶通過(guò)上述的一系列設(shè)置基本上可以完成對(duì)asp的有效封殺，這也是目前比較主流的防范asp木馬的攻擊，大家在平常網(wǎng)站安全的日常維護(hù)中，還要做到的程序定期的升級(jí)、服務(wù)器補(bǔ)丁的及時(shí)安裝、流量異常的攻擊檢測(cè)。服務(wù)器安全關(guān)系到網(wǎng)站發(fā)展的成敗是一件非常重要的事情。