[网络安全] Windows Server 设置文件屏蔽防止黑客利用漏洞上传特定类型的非法文件(.asp .aspx .jsp .php)

[网络安全] Windows Server 设置文件屏蔽防止黑客利用文件上传漏洞上传特定类型的非法文件(.asp .aspx .jsp .php)

前言

我在负责网站运维期间，遇到过一次黑客利用公司网站内使用的开源文件上传工具漏洞上传非法文件（可执行脚本）
我是通过设置文件屏蔽来防止此类事件的再次发生。特在此做下记录。
本文主要Windows Server(2008R2)通过设置文件屏蔽的方式，防止黑客利用上传组件的漏洞上传特定类型的非法文件。

---

目录

黑客是怎么攻击我的

有一天早上阿里云警告通知我云服务器ECS上发现可疑文件：

定位到指定路径，发现是百度富文本编辑器UEditor的upload目录下，被人上传了很多如下图所致的后缀为.aspx的代码文件：

打开之后是如下脚本：

黑客的意图是通过上传可执行脚本，从而进行攻击。
这是比较常见的一种黑客攻击手段。
小场面，不要慌。

我是怎么防范的

解决方法很简单，就是强行规定：upload文件夹中不允许出现.aspx文件。
window提供了文件屏蔽功能，可以屏蔽掉.aspx文件。
注意！千万不要试图通过前端去限制文件上传类型，黑客是可以绕过前端，直接通过接口调用的方式上传非法文件。
在文件屏蔽管理中，设置upload文件夹屏蔽掉.aspx即可。

安装Windows文件服务器资源管理器(FSRM)

文件屏蔽 在文件服务器资源管理器 ()下面，如图所示：

文件服务器资源管理器的英文名是File Server Resource Manager(FSRM)。它是 Windows Server 中的一项角色服务，可用于对文件服务器上存储的数据进行管理和分类。 可以使用 FSRM 自动对文件进行分类、根据这些分类执行任务、设置文件夹的配额，以及创建监视存储使用情况的报告。

我的Windows Server 版本是 2008R2， 默认情况下是没有安装的，需要用户手动安装文件服务器管理工具。
参考文章：Windows server 2008 R2安装文件服务器管理工具
具体步骤如下：
开始->管理工具->服务器管理器

我们需要在服务器管理器中添加文件服务器管理工具的角色：

选择文件服务：


文件服务器资源管理器隶属于文件服务，我们勾选文件服务器资源管理器：





安装完之后可以看到已安装文件服务器资源管理器：

文件服务器管理工具设置文件屏蔽

开始—管理工具—文件服务器资源管理器

在文件屏蔽管理中，单击文件屏蔽节点。

右键单击文件屏蔽，然后单击创建文件屏蔽（或者从操作窗格中选择创建文件屏蔽）。 此操作将打开创建文件屏蔽对话框。

在文件屏蔽路径下，键入文件屏蔽将应用到的文件夹名称,也就是上传组件的upload文件夹路劲，我这里是：网站根目录\Content\ueditor\net\upload。 文件屏蔽将应用于所选文件夹及其所有子文件夹。

在【你希望如何配置文件屏蔽属性】下，单击定义自定义文件屏蔽属性，然后单击自定义属性。 此操作将打开文件屏蔽属性对话框。


如果要复制现有模板的属性以用作文件屏蔽基础，请从模板复制属性下拉列表中选择模板。 然后单击复制。


我们再可执行文件组中添加黑客上传的aspx文件的文件名样式：*.aspx

以下是我推荐的非法文件列表：

.asp
.aspx
.ashx
.cer
.bat
.cmd
.com
.cpl
.inf
.js
.jse
.jsp
.msh
.msp
.ocx
.php
.pif
.pl
.psl
.scr
.vb
.vbs
.wsf
.wsh

单击“确定”，保存。
进入【电子邮件】页，取消邮件通知。邮件通知是为了及时通知管理员，我这边没有类似需求，直接屏蔽即可。

单击“确定”。
回到【创建文件屏蔽】对话框，全部设置好后，点击“创建”：

弹出【将自定义属性另存为模板】对话款，我们给自定义模板取个名字，以后可以直接用这套模板。

点击“确定”。

大功告成。以后黑客就没法再通过aspx文件攻击啦。

文件屏蔽效果测试

---

总结

网络安全是一个很复杂的领域，再工作中还是需要重视的。 以上就是今天介绍的Windows Server(2008R2)设置文件屏蔽防止黑客利用漏洞上传特定类型的非法文件的方法。如对您有所帮助，不胜荣幸~