日期:2014-05-17  浏览次数:20963 次

入侵请教
被入侵几次了。总是上传一个.asp .aspx .jsp .php 之类的木马文件,可以webshell提权的。
百度了下资料,我们后台上传也是需要登录的,而且只允许图片格式。
最后发现在MSFTPSVC1文件夹下有如下日志。分析是通过匿名连接上传了木马文件(js1.asp)。
发现FTP确实是允许匿名的。但为什么我在本地匿名连不上?

13:35:43 118.244.11.125 [37442]USER anonymous 331 0
13:35:43 118.244.11.125 [37442]PASS IEUser@ 230 0
13:35:44 118.244.11.125 [37442]CWD * 550 123
13:40:19 118.244.11.125 [37443]USER anonymous 331 0
13:40:19 118.244.11.125 [37443]PASS IEUser@ 230 0
13:40:19 118.244.11.125 [37443]CWD /PadWeb 250 0
13:40:19 118.244.11.125 [37443]CWD * 550 123
13:40:29 118.244.11.125 [37444]USER anonymous 331 0
13:40:29 118.244.11.125 [37444]PASS flashfxp-user@flashfxp.com 230 0
13:40:31 118.244.11.125 [37444]CWD /PadWeb 250 0
13:41:25 118.244.11.125 [37444]created /PadWeb/js1.asp 226 0
13:41:28 118.244.11.125 [37444]CWD .. 250 0
13:41:30 118.244.11.125 [37444]CWD WWWROOT 250 0
13:41:36 118.244.11.125 [37444]created /WWWROOT/js1.asp 226 0
13:44:34 118.244.11.125 [37444]closed - 421 121
------解决方案--------------------
1.考虑到楼主的网站只允许上传图片,所以我猜,楼主的网站有数据库备份功能吧,对方一定是将asp的网马修改后图片格式,然后使用数据库备份功能备份成.asp的网马。(针对这一问题,楼主要在数据库备份这里下手)

2.如果网站没有特殊要求的话,楼主可以禁止anonymous登录
------解决方案--------------------
1.网站后台没有数据库备份功能。
2.现在是禁止了。
但我发帖求问的是,在允许匿名的时候,应该能连上。日志显示黑客也是这样干的。
但为什么我连不上?——跟我们上网有代理有关么?
------解决方案--------------------
引用:
1.网站后台没有数据库备份功能。
2.现在是禁止了。
但我发帖求问的是,在允许匿名的时候,应该能连上。日志显示黑客也是这样干的。
但为什么我连不上?——跟我们上网有代理有关么?

这个你可以在用其他的机器登录(非代理)试下就知道了
------解决方案--------------------
搞定了,在同事那里可以。我们都用代理的啊。不知道我电脑怎么回事了。。。


------解决方案--------------------
这个漏洞 可真够大的。居然允许匿名ftp。。。。自己汗一个。


------解决方案--------------------

我也不知
引用:
搞定了,在同事那里可以。我们都用代理的啊。不知道我电脑怎么回事了。。。

------解决方案--------------------
下次注意就OK了
引用:
这个漏洞 可真够大的。居然允许匿名ftp。。。。自己汗一个。