如何防范基于IIS的ASP网页木马

大部分ASP木马都是基于FileSystemObject和shell.application两个组件来完成所有控制操作的，它们均具有远程删除、新建、修改文件或文件夹的功能，具有比较大的破坏力。作为网络管理员来说一定要将网页木马的遗留场所进行封存，本文将逐步说明如何禁掉上面提到的两个组件，并将这些组件设置为只容许管理者一人使用。  
  当某些程序需要使用这两个组件时该怎么办呢？其实我们可以通过注册表修改组件的Progid值来实现。   

         第一步：执行开始->运行 输入regedit 后回车进入注册表编辑器  
         第二步：在打开的注册表编辑器中找到“HKEY_CLASSES_ROOT/Scrigting. FileSystemObject”  项。   
         第三步：将其中的“Scripting.FileSystemObject”改为   “Scripting.FileSystemObjectkillfso”即可。   

         小提示：其实细心的读者就会发现修改前后的差别了，只是后面多出了   “killfso”   几个字母，当然这几个字母管理员可以随便改，但需要记住这个名字。   

         第四步：这样我们在调用该组件的时候就需要写成：Set对象名 =Server.CreateObject(“Progid”)   。其中的   Progid=Scripting.FileSystemObjectkillfso, 也就是写成我们改过后的字符串。   

         第五步：我们再按照上面的方法找到“HKEY_CLASSES_ROOT/Shell.Application”,    将   “Shell.Application”   改为您自己想要的字符串即可。调用时同样按照第四步的命令[ming ling]调用。   

   方法[fang fa]三：修改CLSID值   

        这个道理同上面讲的一样，就是通过注册表来修改CLSID值实现。我们只要找到“HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID” 和“HKEY_CLASSES_ROOT/Shell.Application/CLSID”这2个组件[zu jian]的CLSID 值 , 并将它们修改为您喜欢的 , 然后在调用时注明即可。   

         小提示：需要注意的是,调用CLSID值要写成:object  runat=server  id=fsl  scope=page  classid=“clsid:CLSID   值  其中默认情况下CLSID值为   “0D43FE01-F093-11CF-8940-00A0C9054228”   。   

         另外，我们还要注意   Adodb.stream   组件。这个组件主要是用来上传/ 下载文件的，虽然没有上面两个组件那么强大，但与其他组件一起使用时，还是有一定的危险的，ASP木马经常使用这些高权限的组件进行攻击，所以需要我们对这些组件有所防范。