如何禁用掉一句话木马？

[待解决问题]

如何禁用掉 .net 中的某个函数

比如 Jscript.net 的 Eval 或者 asp 中的 eval

网站是使用 asp 和 asp.net 编写的
经常遭受一句话木马侵袭，
自身知道一句话木马原理

基本上是通过几个主要的函数执行的
比如

<%Eval(Request("xx"))%>

这样

如何禁用掉eval execute 还有一些，类似于这样的函数呢？

木马

fun5 | 初学一级 | 园豆：4
提问于：2015-01-04 10:44

< >

所有回答(6)

检查他是哪里进来的才是根本吧。

PandaIT | 园豆：333 (菜鸟二级) | 2015-01-04 11:03

网站很大，难找，不如禁用木马可以利用的地方

支持(0) 反对(0) fun5 | 园豆：4 (初学一级) | 2015-01-04 14:21

@foxidea:

我记得前几年有遇到过这类问题，后面检查基本都是上传编辑器那里控制不严或上传文件类似判断的问题。

如果要禁用？比较麻烦吧如果你是asp.net的项目你里面必须有很多地方有用到Eval的东西或request的东西。

给两个方案：

1.花时间检查代码漏洞。查看服务器日志找到入口。

2.目录权限检查一遍。USER跟EveryOne都禁用掉，重新新建一个用户组出来。

支持(0) 反对(0) PandaIT | 园豆：333 (菜鸟二级) | 2015-01-04 14:31

@PandaIT:

系统前几天才重装了一次

网站的权限是没有 user 和 everyone 的

用的是应用程序标识权限

IIS AppPool\应用程序池标示符

而且是只读的权限

不知道为什么还是被植入木马了

支持(0) 反对(0) fun5 | 园豆：4 (初学一级) | 2015-01-04 15:47

禁用一般是不可能的，要找到为什么代码能过来，就算没有Eval，也是一样的，只不过是多句话木马

0xc | 园豆：237 (菜鸟二级) | 2015-01-04 13:24

在能有客户端提交的地方加上字符串过滤。

Slark.NET | 园豆：692 (小虾三级) | 2015-01-04 21:41

别想太多，要么翻日志检查漏洞修复好

要么网站目录全部设为不可写，上传目录设为不能运行

ayiis | 园豆：356 (菜鸟二级) | 2015-01-05 08:13

我想问一下他是怎么把文件传到你服务器上的，这个是关键

树形图 | 园豆：4 (初学一级) | 2015-01-05 11:50

一般都是通过上传漏洞植入木马，找找网站哪些有上传图片或文件的地方

netqiang | 园豆：405 (菜鸟二级) | 2015-01-05 14:43

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。