62,046
社区成员
发帖
与我相关
我的任务
分享我给公司开发的网站上线后被挂马了,请教高手如何解决~
公司开发了个网站,是我开发的,ASP.NET。在电信托管的服务器,系统是WIN2003,我配置的IIS,
虚拟目录的权限我设的很高,很多都是EVERYONE 都是完全控制的权限,而且虚拟目录的属性的什么【脚本资源访问】【可读】【可写】【目录浏览】【记录访问】,反正那些勾都勾上了,是不是太危险了啊?
现在遇到的问题是有人不知道是用的网站上自带的上传功能上传的图片还是用其他工具上传的图片到网站的目录,然后把图片的名字修改成XXX.ASP 的文件,然后运行访问这个文件,系统就挂了,被别人挂了马好像是
因为很多图片的名字都是XXX.ASP.JPG ,
网站留言什么的是用的FCK编辑器,怎么才能阻止别人上传这样的文件然后改名运行呢!
在上传的时候获取文件名过滤掉文件名包含ASP文字,这个绝对应该是行不通的,
还有就是我的IIS配置是不是很不安全,不安全应该怎么配置呢
谢谢各位指点下,谢谢!~~
虚拟目录的权限我设的很高,很多都是EVERYONE 都是完全控制的权限,而且虚拟目录的属性的什么【脚本资源访问】【可读】【可写】【目录浏览】【记录访问】,反正那些勾都勾上了,是不是太危险了啊?
现在遇到的问题是有人不知道是用的网站上自带的上传功能上传的图片还是用其他工具上传的图片到网站的目录,然后把图片的名字修改成XXX.ASP 的文件,然后运行访问这个文件,系统就挂了,被别人挂了马好像是
因为很多图片的名字都是XXX.ASP.JPG ,
网站留言什么的是用的FCK编辑器,怎么才能阻止别人上传这样的文件然后改名运行呢!
在上传的时候获取文件名过滤掉文件名包含ASP文字,这个绝对应该是行不通的,
还有就是我的IIS配置是不是很不安全,不安全应该怎么配置呢
谢谢各位指点下,谢谢!~~
...全文
请发表友善的回复…
发表回复
newdigitime 2010-10-22
- 打赏
- 举报
如果确定是上传图片改为.asp来运行,那很简单
专门划定一个上传图片的目录,如uppic
给这个目录的"脚本权限"取消就行.
至于改名,你得好好查查代码,别人能随便改动你网站的文件的名称?代码明显是有漏洞
或者是你的服务器有安全漏洞,别人已取得你服务器的一定管理权限.
专门划定一个上传图片的目录,如uppic
给这个目录的"脚本权限"取消就行.
至于改名,你得好好查查代码,别人能随便改动你网站的文件的名称?代码明显是有漏洞
或者是你的服务器有安全漏洞,别人已取得你服务器的一定管理权限.
wubaozhang 2010-10-22
- 打赏
- 举报
文件名包含ASP文字,这个当然是绝对应该是行不通的
但你可以判断文件扩展名是不是在你允许范围内不就可以了?
但你可以判断文件扩展名是不是在你允许范围内不就可以了?
tanxiongwen 2010-10-22
- 打赏
- 举报
[Quote=引用 2 楼 wuyq11 的回复:]
上传存在漏洞
修改配置文件,判断用户session
ConfigAllowedExtensions
网站防止JS注入,sql注入
fckeditor 安全性
[/Quote]
谢谢,修改配置文件哪些需要修改?
判断用户session的地方都判断过了的
上传存在漏洞
修改配置文件,判断用户session
ConfigAllowedExtensions
网站防止JS注入,sql注入
fckeditor 安全性
[/Quote]
谢谢,修改配置文件哪些需要修改?
判断用户session的地方都判断过了的
tanxiongwen 2010-10-22
- 打赏
- 举报
[Quote=引用 1 楼 dalmeeme 的回复:]
脚本资源访问】【可读】【可写】【目录浏览】【记录访问】......只要选“读取”、“记录访问”和“索引资源”就可以,其他的不选。另外根据你的描述,问题好像是出在上传这里,建议对上传的图片格式进行检测,检测文件头是不是jpg格式的,网上搜一下资料。
[/Quote]
只选读取的话,那我有上传图片比如修改头像这些,必须要有写入的权限啊,这个怎么办!
脚本资源访问】【可读】【可写】【目录浏览】【记录访问】......只要选“读取”、“记录访问”和“索引资源”就可以,其他的不选。另外根据你的描述,问题好像是出在上传这里,建议对上传的图片格式进行检测,检测文件头是不是jpg格式的,网上搜一下资料。
[/Quote]
只选读取的话,那我有上传图片比如修改头像这些,必须要有写入的权限啊,这个怎么办!
wuyq11 2010-10-22
- 打赏
- 举报
上传存在漏洞
修改配置文件,判断用户session
ConfigAllowedExtensions
网站防止JS注入,sql注入
fckeditor 安全性
修改配置文件,判断用户session
ConfigAllowedExtensions
网站防止JS注入,sql注入
fckeditor 安全性
dalmeeme 2010-10-22
- 打赏
- 举报
脚本资源访问】【可读】【可写】【目录浏览】【记录访问】......只要选“读取”、“记录访问”和“索引资源”就可以,其他的不选。另外根据你的描述,问题好像是出在上传这里,建议对上传的图片格式进行检测,检测文件头是不是jpg格式的,网上搜一下资料。
好奇都是要学的 2010-10-22
- 打赏
- 举报
上传时做 图片判断 判断第一个点后面的扩展名是什么, 必须是图片才行, 负责就提示图片命名有错误
louisit 2010-10-22
- 打赏
- 举报
对上传的图片格式进行检测
beyond_me21 2010-10-22
- 打赏
- 举报
你到现在再去改保存图片目录的执行权限太晚了,说不定服务器的权限已经早就被人拿到了,除了把保存图片目录的可执行权限去了,还需要
虚拟目录只要选“读取”、“记录访问”和“索引资源”
检查服务器的管理员账号是否被修改,是否存在隐身的管理员账号,禁用guest账号,另外把网站的所有文件用原有未被挂码过的文件替换,否则要每个页面去检查是否被挂了一句话木马
虚拟目录只要选“读取”、“记录访问”和“索引资源”
检查服务器的管理员账号是否被修改,是否存在隐身的管理员账号,禁用guest账号,另外把网站的所有文件用原有未被挂码过的文件替换,否则要每个页面去检查是否被挂了一句话木马
李小冲 2010-10-22
- 打赏
- 举报
iis权限的配置和程序上都应该有漏洞,
hztltgg 2010-10-22
- 打赏
- 举报
文件名是XXX.ASP.JPG?还是XXX.ASP;.JPG?
IIS6有个大漏洞,上传会出问题的
IIS6有个大漏洞,上传会出问题的
lys1978900 2010-10-22
- 打赏
- 举报
FCK上传目录权限设置一下
tanxiongwen 2010-10-22
- 打赏
- 举报
[Quote=引用 6 楼 newdigitime 的回复:]
如果确定是上传图片改为.asp来运行,那很简单
专门划定一个上传图片的目录,如uppic
给这个目录的"脚本权限"取消就行.
至于改名,你得好好查查代码,别人能随便改动你网站的文件的名称?代码明显是有漏洞
或者是你的服务器有安全漏洞,别人已取得你服务器的一定管理权限.
[/Quote]
恩,好的,网站一直是有一个单独的目录供上传图片,权限好像就是比较高,我改下了再试试
如果确定是上传图片改为.asp来运行,那很简单
专门划定一个上传图片的目录,如uppic
给这个目录的"脚本权限"取消就行.
至于改名,你得好好查查代码,别人能随便改动你网站的文件的名称?代码明显是有漏洞
或者是你的服务器有安全漏洞,别人已取得你服务器的一定管理权限.
[/Quote]
恩,好的,网站一直是有一个单独的目录供上传图片,权限好像就是比较高,我改下了再试试
