禁用FSO
参考文章:
http://hi.baidu.com/angyuang/blog/item/0edf8618b5b382ebaf51338e.html
使用FileSystemObject组件
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.HKEY_CLASSES_ROOT/Scripting.FileSystemObject/改名为其它的名字,如:改为ileSystemObject_good自己以后调用的时候使用这个就可以正常调用此组件了.
2.也要将clsid值也改一下HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/项目的值可以将其删除,来防止此类木马的危害.
3.注销此组件命令:RegSrv32 /u C:/WINNT/SYSTEM/scrrun.dll 如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
当然了上面的方法都是针对于整个scrrun.dll组件来说的,这样的话,根本没法针对多个站点中某些个站点单独进行控制,找了很多零零散散的资料及测试,发现可以如下控制:
4.禁止test用户使用scrrun.dll来防止调用此组件命令:
cacls C:/Windows/SysWOW64/scrrun.dll /e /d test 拒绝
cacls C:/Windows/SysWOW64/scrrun.dll /e /r test 恢复
cacls C:/Windows/system32/scrrun.dll /e /d test 无效
至于用system32 64位 还是SysWOW64 32位下的scrrun.dll要根据具体的情况了
初始化设置该组件的所有者为组:Adminitrators 否则 cacls 可能无效
每个站点都有个对应的web用户,改用户权限用来访问和操作该站点的相应一些设置
所以上面命令中的test其实也就是对应站点的web用户,而其相应的应用程序池用户是无效的
这样就可以实现虚拟主机中对单个站点的FSO进行灵活控制
禁用ADODB.steam
同理ADODB.steam也是同样的道理:
cacls C:/Program Files (x86)/Common Files/System/ado/msado15.dll /e /d test拒绝
cacls C:/Program Files (x86)/Common Files/System/ado/msado15.dll /e /r test恢复
cacls C:/Program Files /Common Files/System/ado/msado15.dll /e /d test无效
Program Files 64位 、Program Files (x86) 32位