入侵请教
被入侵几次了。总是上传一个.asp .aspx .jsp .php 之类的木马文件，可以webshell提权的。
百度了下资料，我们后台上传也是需要登录的，而且只允许图片格式。
最后发现在MSFTPSVC1文件夹下有如下日志。分析是通过匿名连接上传了木马文件（js1.asp）。
发现FTP确实是允许匿名的。但为什么我在本地匿名连不上？

13:35:43 118.244.11.125 [37442]USER anonymous 331 0
13:35:43 118.244.11.125 [37442]PASS IEUser@ 230 0
13:35:44 118.244.11.125 [37442]CWD * 550 123
13:40:19 118.244.11.125 [37443]USER anonymous 331 0
13:40:19 118.244.11.125 [37443]PASS IEUser@ 230 0
13:40:19 118.244.11.125 [37443]CWD /PadWeb 250 0
13:40:19 118.244.11.125 [37443]CWD * 550 123
13:40:29 118.244.11.125 [37444]USER anonymous 331 0
13:40:29 118.244.11.125 [37444]PASS flashfxp-user@flashfxp.com 230 0
13:40:31 118.244.11.125 [37444]CWD /PadWeb 250 0
13:41:25 118.244.11.125 [37444]created /PadWeb/js1.asp 226 0
13:41:28 118.244.11.125 [37444]CWD .. 250 0
13:41:30 118.244.11.125 [37444]CWD WWWROOT 250 0
13:41:36 118.244.11.125 [37444]created /WWWROOT/js1.asp 226 0
13:44:34 118.244.11.125 [37444]closed - 421 121
------解决方案--------------------
1.考虑到楼主的网站只允许上传图片，所以我猜，楼主的网站有数据库备份功能吧，对方一定是将asp的网马修改后图片格式，然后使用数据库备份功能备份成.asp的网马。(针对这一问题，楼主要在数据库备份这里下手)

2.如果网站没有特殊要求的话，楼主可以禁止anonymous登录
------解决方案--------------------
1.网站后台没有数据库备份功能。
2.现在是禁止了。
但我发帖求问的是，在允许匿名的时候，应该能连上。日志显示黑客也是这样干的。
但为什么我连不上？——跟我们上网有代理有关么？
------解决方案--------------------

引用:

1.网站后台没有数据库备份功能。
2.现在是禁止了。
但我发帖求问的是，在允许匿名的时候，应该能连上。日志显示黑客也是这样干的。
但为什么我连不上？——跟我们上网有代理有关么？

这个你可以在用其他的机器登录(非代理)试下就知道了
------解决方案--------------------
搞定了，在同事那里可以。我们都用代理的啊。不知道我电脑怎么回事了。。。


------解决方案--------------------
这个漏洞 可真够大的。居然允许匿名ftp。。。。自己汗一个。


------解决方案--------------------

我也不知

引用:

搞定了，在同事那里可以。我们都用代理的啊。不知道我电脑怎么回事了。。。

------解决方案--------------------
下次注意就OK了

引用:

这个漏洞 可真够大的。居然允许匿名ftp。。。。自己汗一个。