empty_view.asp 是 ASP 一句话 Web 后门,纯静态站本身无 ASP 运行代码,它能出现在网站目录,只有8 种真实入侵写入途径,按你环境高发概率排序:前端 JS 校验绕过
后台上传仅网页 JS 限制后缀,抓包修改数据包文件名,直接上传 empty_view.asp;
黑名单绕过技巧
后台过滤.asp,攻击者上传 empty_view.Asp / empty_view.asp.(Windows 自动去末尾点),IIS 不区分大小写,直接保存为 asp;
图片马二次备份生成 ASP
先上传伪装图片 empty_view.jpg(头部加 GIF89a,内含 ASP 木马代码),利用后台数据库备份 / 模板导出功能,将图片备份为empty_view.asp写入网站目录;
在线模板编辑漏洞
建站助手自带在线文件编辑器,黑客拿到后台弱密码后,直接新建empty_view.asp后门。
FTP 账号弱密码(admin/123456、域名、手机号),扫描器批量爆破;
FTP 未限制 IP、默认 21 端口公网开放,破解后直接拖拽上传empty_view.asp到网站根目录 /city 子目录;
虚拟主机同服务器其他站点 FTP 泄露,跨目录写入你的站点文件夹。
IIS 开启 WebDAV、未禁用 PUT/MOVE 危险 HTTP 方法;
网站目录 NTFS 给 IIS_IUSRS 开放写入权限;
攻击流程:
PUT 上传木马内容为temp.txt;
MOVE 重命名为empty_view.asp,直接生成后门文件,无需任何上传接口;
你之前扫描到.cer证书文件可访问,说明 IIS 未过滤危险后缀,此漏洞极易利用。
服务器 3389 公网开放,管理员密码简单,暴力破解登录;
远程桌面打开网站目录,直接复制粘贴empty_view.asp;
服务器中病毒 / 远控木马,自动遍历所有网站目录批量写入 ASP 后门。
黑客在漏洞站点上传empty_view.asp;
利用服务器目录权限互通,跨目录复制到你的静态站wwwroot文件夹;
建站助手多站点共享目录权限,隔离失效导致跨站感染。
empty_view.asp:下载源码解压部署时,后门同步进入网站目录;
模板 JS 暗链配合 ASP 后门,用于批量篡改页面、窃取访客数据。
输入框未过滤特殊代码,提交 ASP 木马代码;
程序将留言保存为empty_view.asp到网站可访问目录;
Access 数据库注入,导出数据库内容生成 ASP 后门文件。
短文件名漏洞猜解网站目录;
上传漏洞 / WebDAV/PUT 漏洞组合;
自动批量写入empty_view.asp、admin.asp、shell.cer等多类型后门。
<fileExtensions> <add fileExtension=".asp" allowed="false" /> <add fileExtension=".cer" allowed="false" /> <add fileExtension=".bak" allowed="false" /> <!-- 其余高危后缀保留 --></fileExtensions>
<rule name="拦截ASP后门文件" stopProcessing="true"> <match url=".*\.asp$" /> <action type="CustomResponse" statusCode="403" /></rule>
appcmd set config -section:system.webServer/security/requestFiltering/verbs /add verb:"PUT" allowed:false appcmd set config -section:system.webServer/security/requestFiltering/verbs /add verb:"MOVE" allowed:false appcmd set config -section:system.webServer/security/requestFiltering/verbs /add verb:"DELETE" allowed:false iisreset
IIS 运行用户 IIS_IUSRS:仅读取 & 列出文件夹,拒绝写入、修改;
仅上传目录临时开放写入,且上传目录删除 ASP 处理程序映射。
建站助手后台、FTP、远程桌面全部更换高强度密码;
FTP 限制本机 IP 登录,修改 21 默认端口;
关闭建站助手在线文件编辑、模板备份导出功能。
.asp文件立刻告警并自动删除。