我已经被黑客攻击了。他们上传了一个名为AspxSpy的恶意aspx文件，并且仍在继续攻击。帮我设法抓住他们！‼

Question

4

我也上传了.aspx文件的内容。当我尝试访问时，会提示输入密码。查看代码后发现有一个硬编码的密码，但似乎使用了一些MD5加密，我无法通过密码保护来查看黑客页面背后的内容。有人能帮忙突破密码保护吗？

他们的文件名为wjose.aspx，我已将代码粘贴到jsbin中以便查看：http://jsbin.com/uhoye3/edit#html 我已经在serverfault.com上发布了一个基于服务器/主机的问题，询问如何防止这种情况在未来发生：https://serverfault.com/questions/206396/attempted-hack-on-vps-how-to-protect-in-future-what-were-they-trying-to-do

- Moin Zaman

3

你不觉得在这件事发生之前限制上传数量会是一件好事吗？永远不要相信用户输入。 - Elliott

1

Richard - 这与几个月前的 ASP.NET 攻击无关。该攻击是 ASP.NET 密码算法中的根本漏洞。这个问题是关于配置不正确的 CMS。列出有效文件扩展名并拥有一个 Web.config 条目来防止执行脚本将解决此问题。 - Levi

5

我不确定我理解这个编程问题的部分。安全问题在于用户上传的文件不应该被放置在可以被Web服务器执行的位置。 - mlibby

大家好，其中至少有一部分是一个具体的编程问题，即我如何绕过那个.aspx页面上的密码保护来查看其中的内容？ - Moin Zaman

3

e01a7e40f6ee1461d2737c4f627a095a - sisve

显示剩余13条评论

2个回答

0

可能有点晚了，但我已经成功地阻止了ASPXSpy在我的Windows 2003服务器上运行，只要安装了UrlScan，它也适用于2008和2012。

- LJ2010

如果攻击者更改aspxspy文件名，这将无法帮助。 - Aristos

需要在文件中更改cookie的名称，大多数脚本小子要么太懒，要么不知道如何做。他们只是想向朋友炫耀他们“黑进”了服务器。让我这样说吧，自从我这样做了以后，我就没有遇到过一个aspxspy上传成功而没有被阻止的情况。 - LJ2010

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Aristos · Accepted Answer

如果您正在运行asp.net，并且只需要添加位于用户上传文件的根目录中的 web.config ，则只需添加此标记即可。通过该web.config，您不允许任何人在此目录树上运行aspx页面。

受保护的web.config只包含以下内容：

<configuration>
    <system.web>
      <authorization>
        <deny users="*" />
      </authorization>
    </system.web>
</configuration>

有了这个web.config，您的程序仍然可以在此目录上读取和写入图像和其他文件，但不能运行aspx和其他运行asp.net扩展名。

检查文件扩展名上传

当然，您必须检查所有已知运行文件扩展名的上传和重命名，包括但不限于.exe .php .aspx .com .asp .ashx。我相信这是第一步，但为了确保没有找到任何其他运行未知内容的方法，需要使用web.config并限制只能使用dot.net。

只需注释/删除http://jsbin.com/uhoye3/edit#html上的所有这些行，您就可以看到它正在运行，因为在此时检查密码并在失败时返回false。如果让它继续，您将取消密码部分。

if (Request.Cookies[vbhLn].Value != Password)
    {
    tZSx();
    return false;
    }