[网络安全] Windows Server 设置文件屏蔽防止黑客利用漏洞上传特定类型的非法文件

news2024/12/25 9:33:44

我在负责网站运维期间,遇到过一次黑客利用网站内使用的开源文件上传工具漏洞上传非法文件(可执行脚本)
我是通过设置文件屏蔽来防止此类事件的再次发生。特在此做下记录。

文章目录

  • 前言
  • 一、黑客是怎么攻击我的
  • 二、我是怎么防范的
    • 2.1 Windows Server安装文件服务器管理工具
    • 2.2 文件服务器管理工具设置文件屏蔽
  • 总结


前言

本文主要Windows Server(2008R2)通过设置文件屏蔽的方式,防止黑客利用上传组件的漏洞上传特定类型的非法文件。


一、黑客是怎么攻击我的

阿里云安全警告通知我,发现可疑文件。
定位到指定路径,发现上传组件ueditor的upload目录下,被人上传了很多如下图所致的后缀为.aspx的代码文件:
在这里插入图片描述
打开之后是如下脚本:
在这里插入图片描述
黑客的意图是通过上传可执行脚本,从而进行攻击。
这是比较常见的一种黑客攻击手段。
小场面,不要慌。

二、我是怎么防范的

解决方法很简单,就是强行规定:upload文件夹中不允许出现.aspx文件。
window提供了文件屏蔽功能,可以屏蔽掉.aspx文件。
注意!千万不要试图通过前端去限制文件上传类型,黑客是可以绕过前端,直接通过接口调用的方式上传非法文件。
在文件屏蔽管理中,单击文件屏蔽节点。

2.1 Windows Server安装文件服务器管理工具

我的Windows Server 版本是 2008R2, 需要单独安装文件服务器管理工具。
参考文章:Windows server 2008 R2安装文件服务器管理工具
具体步骤如下:
开始->管理工具->服务器管理器
在这里插入图片描述
我们需要在服务器管理器中添加文件服务器管理工具的角色:
在这里插入图片描述
选择文件服务:
在这里插入图片描述
在这里插入图片描述
文件服务器资源管理器隶属于文件服务,我们勾选文件服务器资源管理器:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
安装完之后可以看到已安装文件服务器资源管理器:
在这里插入图片描述

2.2 文件服务器管理工具设置文件屏蔽

开始—管理工具—文件服务器资源管理器
在这里插入图片描述
在文件屏蔽管理中,单击文件屏蔽节点。
在这里插入图片描述

右键单击文件屏蔽,然后单击创建文件屏蔽(或者从操作窗格中选择创建文件屏蔽)。 此操作将打开创建文件屏蔽对话框。
在这里插入图片描述

在文件屏蔽路径下,键入文件屏蔽将应用到的文件夹名称,也就是上传组件的upload文件夹路劲,我这里是:网站根目录\Content\ueditor\net\upload。 文件屏蔽将应用于所选文件夹及其所有子文件夹。

在这里插入图片描述

在【你希望如何配置文件屏蔽属性】下,单击定义自定义文件屏蔽属性,然后单击自定义属性。 此操作将打开文件屏蔽属性对话框。
在这里插入图片描述
在这里插入图片描述
如果要复制现有模板的属性以用作文件屏蔽基础,请从模板复制属性下拉列表中选择模板。 然后单击复制。
在这里插入图片描述
在这里插入图片描述
我们再可执行文件组中添加黑客上传的aspx文件的文件名样式:*.aspx
在这里插入图片描述
单击“确定”,保存。
进入【电子邮件】页,取消邮件通知。邮件通知是为了及时通知管理员,我这边没有类似需求,直接屏蔽即可。
在这里插入图片描述
单击“确定”。
回到【创建文件屏蔽】对话框,全部设置好后,点击“创建”:
在这里插入图片描述
弹出【将自定义属性另存为模板】对话款,我们给自定义模板取个名字,以后可以直接用这套模板。
在这里插入图片描述
点击“确定”。

在这里插入图片描述
大功告成。以后黑客就没法再通过aspx文件攻击啦。


总结

网络安全是一个很复杂的领域,再工作中还是需要重视的。 以上就是今天介绍的Windows Server(2008R2)设置文件屏蔽防止黑客利用漏洞上传特定类型的非法文件的方法。如对您有所帮助,不胜荣幸~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/424781.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

我学习网络安全的心得

我的学习心得,我认为能不能自学成功的要素有两点。 第一点就是自身的问题,虽然想要转行学习安全的人很多,但是非常强烈的想要转行学好的人是小部分。而大部分人只是抱着试试的心态来学习安全,这是完全不可能的。 所以能不能学成并…

Matplotlib 二维图像绘制方法

Matplotlib 二维图像绘制方法 介绍 Matplotlib 是支持 Python 语言的开源绘图库,因为其支持丰富的绘图类型、简单的绘图方式以及完善的接口文档,深受 Python 工程师、科研学者、数据工程师等各类人士的喜欢。本次实验课程中,我们将学会使用 Matplotlib 绘图的方法和技巧。…

GitHub的简介与Idea集成Git

六大基础功能 : 创建远程库、代码推送(Push)、代码拉取(Pull)、代码克隆(Clone)、SSH免密登录、Idea集成GitHub GitHub 网址:https://github.com/ 1.创建远程仓库 登录后的页面右上…

亚马逊云科技帮助BMW Financial Services设计和构建数据架构

BMW Group和亚马逊云科技于2020年宣布达成全面战略合作。在re:Invent2019上,BMW和亚马逊云科技展示了新的云数据中心平台,先是大致介绍了不同的数据平台原型,然后介绍了构建BMW Group云数据中心的过程。Amazon Data Lab使用亚马逊云科技的云数…

Volatile关键字的作用探究

前言 今天下午BOSS上投了个简历小试了一波水,结果被问到一个知识点volatile关键字的作用,我回答了线程的可见性,另一个死活想不起来是什么,当回到工位上看了眼笔记,才想起来。这种知识点其实平时使用的频率还是挺高的…

Phaser笔记-scene中的preload、create、update、player、键盘控制

一般phaser最简单的配置文件如下: let config {type: Phaser.AUTO,width: 800,height:600,scene: {preload: preload,create: create,update: update},physics:{default: arcade,arcade: {gravity: { y: 300},debug: false}}};其中scene有3个函数:prel…

CI570 3BSE001440R1适用于数字功能需求较多的设计

CI570 3BSE001440R1适用于数字功能需求较多的设计 尽管纯硅的CMOS 制程被认为仅适用于数字功能需求较多的设计,而不适用于以模拟电路为主的射频IC 设计,不过历经十几年的努力后,随着CMOS 性能的提升、晶圆代工厂在0.25mm 以下制程技术的配合、…

解决 Docker + selenium + chromedriver + chrome 会出现僵尸进程的问题

一、僵尸进程问题 在docker里,使用selenium爬虫, webdriver quit后,会产生很多僵尸进程。docker run -it -v /home/blackip:/home/blackips/ selenium:1.0python3 linux_black_ip.pytop查看僵尸进程:ps -ef | grep defunct查看…

微服务+springcloud+springcloud alibaba学习笔记【Ribbon的使用】(4/9)

Ribbon的使用 4/91、Ribbon负载均衡1.1 Ribbon简介1.2 Ribbon功能1.3 使用Ribbon:1.3.1 Ribbon常用负载均衡算法1.3.2 使用Ribbon1.3.3 ribbon的轮询算法原理1.3.4 手写一个负载均衡轮询算法1.3.5 启动服务,测试1、Ribbon负载均衡 1.1 Ribbon简介 Spring Cloud Ribbon是基于N…

Nestjs实战干货-概况-管道-Pipes

管道 带上装饰器 Injectable() 并实现了 PipeTransform 接口的类,就是管道。 管道有 2 个典型的应用场景: 数值转换:将输入的参数转换成目标类型,例如,string to number。 数值校验:对输入的参数进行校验…

记一次 MySQL 主从同步异常的排查记录,百转千回

本文主要内容如下: 一、现象 最近项目的测试环境遇到一个主备同步的问题: 备库的同步线程停止了,无法同步主库的数据更改。 备库报错如下: 完整的错误信息: Relay log read failure: Could not parse relay log even…

一文读懂【Git 工作流】

文章目录一、Git分支管理二、Git日志规范三、Git Flow工作流一、Git分支管理 我们在实际工作中会创建很多分支以便于不同场景下的开发,但是如果没有分支规范就会造成分支杂乱,大家往往也搞不清楚某一个分支是在做什么,下面我们就介绍一下我们…

车企围攻整车OS,这张“新王牌”怎么打?

今年2月23日,梅赛德斯--奔驰发布了打造自有操作系统MB.OS的具体计划,该操作系统将在本年代中期随全新梅赛德斯-奔驰模块化架构(MMA)平台推出,预计2025年用户将能体验到它的强大功能。 据悉,基于覆盖芯片到…

YOLOv8运行参数解读

整理来自yolov8官方文档常用的一些命令行参数,官方文档YOLOv8 Docs yolov8命令行的统一运行格式为: yolo TASK MODE ARGS其中主要是三部分传参: TASK(可选) 是[detect、segment、classification]中的一个。如果没有显式传递,YO…

智慧水务软件-科学系统架构-数字化管理

平台概述 柳林智慧水务软件是以物联感知技术、大数据、智能控制、云计算、人工智能、数字孪生、AI算法、虚拟现实技术为核心,以监测仪表、通讯网络、数据库系统、数据中台、模型软件、前台展示、智慧运维等产品体系为支撑,以城市水资源、水生态、水环境…

VGG论文翻译及复现

VGG网络实现:https://blog.csdn.net/weixin_43912621/article/details/127852595 论文地址:https://arxiv.org/abs/1409.1556 VERY DEEP CONVOLUTIONAL NETWORKS FOR LARGE-SCALE IMAGE RECOGNITION 用于大规模图像识别的深度卷积网络 Abstract In t…

Salesforce Admin管理员中文学习教程,如何高效筛选出具有Admin权限的用户!

组织中最常见的错误之一就是拥有太多具有系统管理员简档的用户。不幸的是,这在某些行业中非常普遍。 实际上这存在着很大的潜在风险。拥有这些权限的用户可能会暴露、窃取或删除组织中的数据,甚至影响到其他用户。防止过多的管理员访问权限是保护Salesf…

基于Python机器学习、深度学习技术提升气象、海洋、水文领域实践应用能力

目录 专题一、Python软件的安装及入门 专题二、气象常用科学计算库 专题三、气象海洋常用可视化库 专题四、爬虫和气象海洋数据 专题五、气象海洋常用插值方法 专题六、机器学习基础理论和实操 专题七、机器学习的应用实例 专题八、深度学习基础理论和实操 专题九、深…

摸鱼也可以效率翻倍:Python 统计 gitlab 代码量,定量统计发给领导

嗨害大家好鸭!我是爱摸鱼的芝士❤ 一、确定需求 需求是公司大领导想要了解每周研发提交的代码量。 因为研发人员比较多, 想着用 python 做个自动化, 定时统计代码量并发送邮件给领导。 二、统计gitlab代码 首先安装第三方库python-gitlab&…

如何提升智能文档处理识别精度?合合信息“版面分析”实现新突破

春季是繁忙的播种季,学生党迎来了开学季和紧张的研究生复试,职场人士也需要处理新签业务带来的大量不同类型的文件,比如合同、发票、档案等。这些文件在被拍照、扫描成电子文档的过程中,时常存在漏字、错位现象。究其原因&#xf…