Меня взломали. Файл Evil aspx загружен под названием AspxSpy. Они все еще пытаются. Помогите мне ловить их!

Я также размещаю содержимое загруженного файла .aspx. Когда я пытаюсь получить к нему доступ, я получаю запрос на пароль, глядя на код, там пароль с кодировкой, но похоже, что происходит какое-то шифрование MD5, и я не могу понять, что находится за защитой паролем на эта страница хакеров. Может ли кто-нибудь помочь с получением пароля?

Их файл назывался wjose.aspx, и я вставлял код в jsbin для удобства просмотра: http://jsbin.com/uhoye3/edit#html

У меня уже есть серверная версия вопроса на сервере serverfault.com с просьбой о мерах по предотвращению этого в будущем: https://serverfault.com/info/206396/attempted-hack-on-vps-how-to-protect-in-future-what-were-they-trying-to-do p >

ОТВЕТЫ

Ответ 1

Если вы используете asp.net и только помечаетесь, вам нужно добавить этот web.config в корневой каталог, который ваши пользователи загружают. С этим web.config вы не позволяете кому-либо запускать aspx-страницы в этом дереве каталогов.

В файле web.config для защищенного файла должны быть только:

<configuration>
    <system.web>
      <authorization>
        <deny users="*" />
      </authorization>
    </system.web>
</configuration>

С помощью этой программы web.config ваша программа все еще может читать и записывать изображения и другие файлы в этом каталоге, но не может запускать aspx и другие исполняемые расширения asp.net.

Проверьте загрузку расширения файла

Конечно, вы должны проверять все известные расширения исполняемых файлов при загрузке и переименовании, включая, но не ограничиваясь .exe.php.aspx.com.asp.ashx Это я считаю первым, что некоторые должны сделать, но чтобы не найти другого способа запустить что-то неизвестное, это web.config и ограниченный только dot.net.

Для пароля, который вы задаете

просто комментировать/удалять все эти строки на http://jsbin.com/uhoye3/edit#html, и вы видите, что он работает, потому что на этом этапе проверяется пароль и возвращает false если сбой. Если вы позволите продолжить, отмените часть пароля.

if (Request.Cookies[vbhLn].Value != Password)
    {
    tZSx();
    return false;
    }

Ответ 2

Это немного поздно, но я смог успешно заблокировать ASPXSpy для работы на моей ферме Windows 2003, он также работает в 2008 и 2012 годах, пока у вас установлен UrlScan...

http://www.larmib.com/2013/how-to-block-hackers-who-upload-aspxspy/