ASP Trojanがサーバー上で実行されないようにする方法

ASP Trojanは主に3つの技術を使用して、サーバー上で関連する操作を実行します。

まず、FileSystemObjectコンポーネントを使用します。

FileSystemObjectはファイルに対して通常の操作を実行できますこのようなトロイの木馬を防ぐためにこのコンポーネントの名前を変更するようにレジストリを変更することができます。

HKEY_CLASSES_ROOT \\ Scripting.FileSystemObject \\は、以下のように他の名前に変更されます。後で呼び出すときにFileSystemObject_ChangeNameに変更され、このコンポーネントを通常どおりに呼び出すことができます。また、clsid値も変更できます。 HKEY_CLASSES_ROOT \\ Scripting.FileSystemObject \\ CLSID \\プロジェクトの値を削除して、このようなトロイの木馬に害を及ぼすことを防ぐこともできます。

このコンポーネントコマンドの登録を解除します。RegSrv32 /u C：\\ WINNT \\ SYSTEM \\ scrrun.dllこのコンポーネントが呼び出されるのを防ぐために、ゲストユーザーがscrrun.dllを使用することを防ぎます。次のコマンドを使用してください。cacls C：\\ WINNT \\ system32 \\ scrrun.dll /e /d guests

次に、WScript.Shellコンポーネントを使用します。

WScript.Shellはシステムカーネルを呼び出してDOSの基本的なコマンドを実行します。このようなトロイの木馬が害を受けないようにレジストリを変更してこのコンポーネントの名前を変更してください。

HKEY_CLASSES_ROOT \\ WScript.Shell \\およびHKEY_CLASSES_ROOT \\ WScript.Shell.1 \\は、WScript.Shell_ChangeNameまたはWScript.Shell.1_ChangeNameのように他の名前に変更されます。後で呼び出すときに使用されます。このコンポーネントを呼び出すには、clsidの値をHKEY_CLASSES_ROOT \\ WScript.Shell \\ CLSID \\ projectの値に変更しますHKEY_CLASSES_ROOT \\ WScript.Shell.1 \\ CLSID \\ projectの値も削除してこのようなトロイの木馬を防ぐことができます。

最後に、Shell.Applicationコンポーネントを使用します。

Shell.Applicationはシステムカーネルを呼び出してDOSの基本コマンドを実行し、レジストリで変更できます。このコンポーネントは、このようなトロイの木馬を防ぐために名前が変更されます。 HKEY_CLASSES_ROOT \\ Shell.Application \\およびHKEY_CLASSES_ROOT \\ Shell.Application.1 \\は、次のように他の名前に変更されました。後で呼び出すときにこれを使用するには、Shell.Application_ChangeNameまたはShell.Application.1_ChangeNameに変更します。 clsid値を

HKEY_CLASSES_ROOT \\ Shell.Application \\ CLSID \\ Itemに変更します。

HKEY_CLASSES_ROOT \\ Shell.Application \\ CLSID \\ Itemの値

そのようなトロイの木馬の損傷を防ぐために取り外してください。このコンポーネントが呼び出されるのを防ぐために、ゲストユーザーはshell32.dllを使用することが禁止されています。次のコマンドを使用してください。cacls C：¥WINNT¥system32¥shell32.dll /e /d guests

注：この操作は、Webサービスを再起動した後に有効になります。

4番目に、Cmd.exeを呼び出します。

ゲストグループユーザーがcmd.execacls C：\\ WINNT \\ system32 \\ Cmd.exe /e /d guestsを呼び出すことを無効にします。

ステップ設定は基本的にいくつかの一般的なトロイの木馬を防ぐことができますが、最も効果的な方法は包括的なセキュリティ設定を通してサーバーとプログラムのセキュリティの一定の標準を達成することです。 Br>