我在负责网站运维期间,遇到过一次黑客利用网站内使用的开源文件上传工具漏洞上传非法文件(可执行脚本)
我是通过设置文件屏蔽来防止此类事件的再次发生。特在此做下记录。
前言
本文主要Windows Server(2008R2)通过设置文件屏蔽的方式,防止黑客利用上传组件的漏洞上传特定类型的非法文件。
一、黑客是怎么攻击我的
阿里云安全警告通知我,发现可疑文件。
定位到指定路径,发现上传组件ueditor的upload目录下,被人上传了很多如下图所致的后缀为.aspx的代码文件:
打开之后是如下脚本:
黑客的意图是通过上传可执行脚本,从而进行攻击。
这是比较常见的一种黑客攻击手段。
小场面,不要慌。
二、我是怎么防范的
解决方法很简单,就是强行规定:upload文件夹中不允许出现.aspx文件。
window提供了文件屏蔽功能,可以屏蔽掉.aspx文件。
注意!千万不要试图通过前端去限制文件上传类型,黑客是可以绕过前端,直接通过接口调用的方式上传非法文件。
在文件屏蔽管理中,单击文件屏蔽节点。
2.1 Windows Server安装文件服务器管理工具
我的Windows Server 版本是 2008R2, 需要单独安装文件服务器管理工具。
参考文章:Windows server 2008 R2安装文件服务器管理工具
具体步骤如下:
开始->管理工具->服务器管理器
我们需要在服务器管理器中添加文件服务器管理工具的角色:
选择文件服务:
文件服务器资源管理器隶属于文件服务,我们勾选文件服务器资源管理器:
安装完之后可以看到已安装文件服务器资源管理器:
2.2 文件服务器管理工具设置文件屏蔽
开始—管理工具—文件服务器资源管理器
在文件屏蔽管理中,单击文件屏蔽节点。
右键单击文件屏蔽,然后单击创建文件屏蔽(或者从操作窗格中选择创建文件屏蔽)。 此操作将打开创建文件屏蔽对话框。
在文件屏蔽路径下,键入文件屏蔽将应用到的文件夹名称,也就是上传组件的upload文件夹路劲,我这里是:网站根目录\Content\ueditor\net\upload。 文件屏蔽将应用于所选文件夹及其所有子文件夹。
在【你希望如何配置文件屏蔽属性】下,单击定义自定义文件屏蔽属性,然后单击自定义属性。 此操作将打开文件屏蔽属性对话框。
如果要复制现有模板的属性以用作文件屏蔽基础,请从模板复制属性下拉列表中选择模板。 然后单击复制。
我们再可执行文件组中添加黑客上传的aspx文件的文件名样式:*.aspx
单击“确定”,保存。
进入【电子邮件】页,取消邮件通知。邮件通知是为了及时通知管理员,我这边没有类似需求,直接屏蔽即可。
单击“确定”。
回到【创建文件屏蔽】对话框,全部设置好后,点击“创建”:
弹出【将自定义属性另存为模板】对话款,我们给自定义模板取个名字,以后可以直接用这套模板。
点击“确定”。
大功告成。以后黑客就没法再通过aspx文件攻击啦。
总结
网络安全是一个很复杂的领域,再工作中还是需要重视的。 以上就是今天介绍的Windows Server(2008R2)设置文件屏蔽防止黑客利用漏洞上传特定类型的非法文件的方法。如对您有所帮助,不胜荣幸~