全球主机交流论坛
标题:
关于最新能侦听FTP密码的ASP.net木马的说明
[打印本页]
作者:
mayapop1
时间:
2014-4-25 07:40
标题:
关于最新能侦听FTP密码的ASP.net木马的说明
星外科技近期分析了以前没有人留意的一种网络侦听型ASP.net木马,我们发现,这个木马可以运行在所有默认的状态的win2003操作系统下(没装星外的一样完蛋),只需要在普通的宽松类型的asp.net空间中就能运行,能造成非常严重的后果:
1.可以侦听网卡的任何流量,例如
A.FTP登陆的用户名及密码
B.3389远程桌面的登陆过程
C.同台服务器所有表单的POST数据
D.其他任何感兴趣的网卡数据包,如POP,SMTP等
2.侦听后可以写入日志,事后用来FTP挂马用,或直接登陆服务器,入侵邮箱等
我们也测试了国内主流所有的安全及防护软件,没有任何一种可以解决这个问题,最核心的原因是,这个asp.net木马合法地调用了微软自身允许的网络组件System.Net,而这个组件在大量的正常的程序中用到,我们又不能完全禁止它!
经过星外测试,这个问题只有在宽松环境下的windows 2003下能运行,在严格环境下并不能运行,因此,还在使用win2003的星外用户,请务必启用严格asp.net安全模型!
我们也测试了win2008R2,win2012R2,就算是宽松环境,这个木马也运行不了,因此,我们建议所有星外的用户,升级操作系统到Win2008R2来完全解决这个问题,我们估计微软是完全了解这个情况的,但是,就象放弃WinXP一样,win2003估计也被放弃了!
为了防止将来可能出现的问题,我们强烈要求所有星外用户都必须安装星外杀马驱动版(更新于2014-4-23),这个软件可以直接在驱动层拦截从IIS发出的非法调用进程调用,对asp,asp.net,php全部有效!但是,这个软件也解决不了侦听网络的木马!,请按上面的说明处理!
为了防止同网段的侦听,我们也建议您对win2008/2012的FTP启用ssl,设置办法请看下图:
IIS中设置:
作者:
lxqfff
时间:
2014-4-25 07:45
提示:
作者被禁止或删除 内容自动屏蔽
作者:
Captain
时间:
2014-4-25 08:30
星外杀马驱动版
作者:
土鳖
时间:
2014-4-25 08:33
好像很流弊的样子,我好怕怕哦,靠,我用linux的,我怕个毛线
作者:
kuku
时间:
2014-4-25 08:37
好像很流弊的样子,我好怕怕哦,靠,我用linux的,我怕个毛线
作者:
主机侦探
时间:
2014-4-25 20:00
求木马。
作者:
DOS
时间:
2014-4-25 20:52
好像很流弊的样子,我好怕怕哦,靠,我用linux的,我怕个毛线
作者:
flyfish
时间:
2014-4-25 20:58
哈哈哈哈,楼上的回复。。。。
作者:
154375446
时间:
2014-4-25 21:20
好像很流弊的样子,我好怕怕哦,靠,我用linux的,我怕个毛线
作者:
小新
时间:
2014-4-25 21:25
好像很流弊的样子,我好怕怕哦,靠,我用linux的,我怕个毛线
我来凑队形
作者:
每次醒来
时间:
2014-4-25 21:26
好像很流弊的样子,我好怕怕哦,靠,我用linux的,我怕个毛线
作者:
boykid
时间:
2014-4-25 21:42
好像很流弊的样子,我好怕怕哦,靠,我用linux的,我怕个毛线
作者:
doors
时间:
2014-4-25 21:44
还好不用FTP
作者:
QuaintJade
时间:
2014-4-26 08:58
本帖最后由 QuaintJade 于 2014-4-26 09:00 编辑
VPS用普通FTP太没安全意识了。ftps或者sftp是必须的
同理,pop3s和smtps也是常规应用。
作者:
gman34
时间:
2014-4-26 09:01
靠,我用linux的,我怕个毛线
作者:
翅膀的初衷
时间:
2014-4-26 09:38
从来没用过FTP,不过求木马下载地址,
作者:
低调路过
时间:
2014-4-26 10:09
提示:
作者被禁止或删除 内容自动屏蔽
作者:
simple
时间:
2014-4-26 10:55
郁闷啊 又出漏洞了 我有一打2003的服务器呢
作者:
alocne
时间:
2014-4-26 11:40
求木马下载地址 或者木马名字
作者:
qinpairs
时间:
2014-4-26 12:04
好像很流弊的样子,我好怕怕哦,靠,我用linux的,我怕个毛线
欢迎光临 全球主机交流论坛 (https://91ai.net/)
Powered by Discuz! X3.4