我被黑了。 上传的Evil aspx文件名为AspxSpy。 他们还在努力。 帮我陷阱吧!
我也提出了上传的.aspx文件的内容。 当我尝试访问它时,系统会提示输入密码,查看代码,有一个带密码的密码,但看起来有些MD5加密正在进行中,我无法查看密码保护的背后是什么这个黑客页面。 有人可以帮助我们通过密码保护吗?
他们的文件名为wjose.aspx ,我将代码粘贴到jsbin中以便于查看: http ://jsbin.com/uhoye3/edit#html
我已经在serverfault.com上找到了一个基于服务器/主机的问题版本,要求在将来采取措施防止这种情况: https : //serverfault.com/questions/206396/attempted-hack-on-vps-how-以保护function于未来-什么-是-他们,试图-待办事项
如果您运行asp.net并且仅在标记时,则只需在用户上载文件的根目录中添加此web.config 。 使用该web.config,您不允许任何人在此目录树上运行aspx页面。
受保护的web.config必须仅包含:
使用此web.config,您的程序仍然可以在此目录上读取和写入图像和其他文件,但无法运行aspx和其他正在运行的asp.net扩展。
检查文件扩展名上传
当然,你必须在上传和重命名时检查所有已知的正在运行的文件扩展名,包括但不限于.exe .php .aspx .com .asp .ashx这是我相信第一个必须做的,但要确定没有找到任何其他方法来运行未知的东西是web.config和仅限于dot.net。
对于你问的密码
只需在http://jsbin.com/uhoye3/edit#html上注释/删除所有这些行,您就会看到它正在运行,因为在这一点上检查密码并在失败时返回false。 如果继续,则取消密码部分。
if (Request.Cookies[vbhLn].Value != Password) { tZSx(); return false; }
这有点晚了,但是我已经能够成功阻止ASPXSpy在我的Windows 2003服务器场上运行,只要你安装了UrlScan就可以在2008年和2012年运行…
http://www.larmib.com/2013/how-to-block-hackers-who-upload-aspxspy/