我的管理下有一台IIS6和II7服务器。
我的所有应用程序池都在自定义帐户下运行,该帐户是IIS_IUSRS的成员
网络服务器上的一些网站被黑客入侵,恶意的asp.net文件被上传到服务器。
这些文件被用作攻击者和操作系统之间执行代码的媒介
我注意到运行应用程序池的用户能够列出我的服务器的所有目录,并且实际上是“Authenticated users”的一部分,因此“users”组默认具有执行文件的权限/创建文件夹等。
黑客能够使用应用程序池凭据对经过身份验证的用户进行身份验证,并且由于经过身份验证的用户是用户组的一部分,因此他们可以执行他们想要的操作
您可以使用进程资源管理器查看工作进程安全组,轻松地重新创建问题。
我的问题是: