我的站23：56整体被挂了马，5.5

不要拿着科讯程序说事，白用人家系统，你们说过谢谢吗？

！废话少说，一起找漏洞。

查到可以问件回帖提出！

大家一起努力吧！！！

祝:科讯全体员工双节快乐

从本站日志中查到一段记录：

2009-09-30 15:56:50 124.172.242.16 - POST /Template/rss.asa 200 89 HTTP/1.1 - http://www.****.net/Template/rss.asa
2009-09-30 15:56:50 124.172.242.16 - POST /KS_Editor/fckeditor/editor/plugins/placeholder/lang/inedx.asp 200 89 HTTP/1.1 - http://www.****.net/KS_Editor/fckeditor/editor/plugins/placeholder/lang/inedx.asp
2009-09-30 15:56:50 124.172.242.16 - POST /dj/YuQaIFS_Data/bottum.asp 200 89 HTTP/1.1 - http://www.****.net/dj/YuQaIFS_Data/bottum.asp
2009-09-30 15:56:50 124.172.242.16 - POST /KS_Editor/fckeditor/editor/images/smiley/msn/C00N.asp 404 3985 HTTP/1.1 - http://www.****.net/KS_Editor/fckeditor/editor/images/smiley/msn/C00N.asp
2009-09-30 15:56:51 124.172.242.16 - POST /KS_Editor/fckeditor/editor/images/smiley/help.asp;.jpg 405 3935 HTTP/1.1 - http://www.****.net/KS_Editor/fckeditor/editor/images/smiley/help.asp;.jpg
2009-09-30 15:56:52 124.172.242.16 - POST /Template/rss.asa 200 89 HTTP/1.1 - http://www.****.net/Template/rss.asa?nor=0&en=1&asp=0&dot=1
2009-09-30 15:57:01 124.172.242.16 - POST /Template/rss.asa 200 89 HTTP/1.1 - http://www.****.net/Template/rss.asa

其中的伪JPG还是被上传上来了！！估计是KS_EDITOR上传漏洞！

请管理员审查！

建议大家给CSS添加上这段代码：

iframe{n1ifm:expression（this.src=‘about:blank’，this.outerHTML=‘’）;}/*这行代码是解决挂IFRAME木马的哦*/

script{nojs1:expression（（this.src.toLowerCase（）.indexOf（‘http’）==0）？document.write（‘木马被成功隔离！’）：‘’）;}

刚刚测试很管用！！！

感谢作者提供！

郁闷！！！11：45分又被挂马！！！我要报警呀！！

挂马是正常的，人家在你的网站上留一后门。随时都可以挂。建议你把会员注册的改为审核的那种，要不再把会员中心页面修改下。

KS_Editor/InsertFunctionfield.asp

ID = Trim(request("id"))
Call Main

Call CloseConn

Sub Main()
Set rs=Conn.Execute("select * from KS_Label where ID='" & ID & "'")

看看是不是漏洞？网上找到的！