账号通
    

账号  

密码  

19521

查看

49

回复
主题:[分享]被挂马的人不妨看下入侵过程,并提供临时解决方案 [收藏主题] 转到:  
科汛官方 当前离线

47268

主题

145

广播

405

粉丝
添加关注
级别:管理员

用户积分:101604 分
登录次数:7935 次
注册时间:2006/12/7
最后登录:2023/12/14
科汛官方 发表于:2009/10/1 16:10:00   | 只看该作者 查看该作者主题 楼主 
科汛智能建站系统

http://www.hack58.com/Soft/html/9/18/2009/2009092818050.htm

 

从录像里可以看出,这些人要先进后台上传小马,实质上这个漏洞官方已经在v6 sp1修复过了.

 

今天官方分析了好几个站的IIS日志,均是28,29号就将后门上传上去,访问过程大致是

 先访问到admin/ks.template.asp->admin/include/upfilesave.asp->在template目录下出现rss.asa,同样在ks_data下出现kesionbak.asa->这两个都是小马,然后在其它地方放有大马(每个站可能不同),

 

也就是已经在你的网站上放了定时炸弹,但到昨晚才统一爆发挂马!所以正如网友说的这次确实有点像预谋好的,等大家放假休息了,再给你挂上去.搞得好的流量!

 

 

 

为使大家能过个好的假期,请先按以下方法解决:

 

  1.找出木马后门,并删除,然后将所有静态文件删除并重新生成,记得先清除template目录下模板里的文件恶意代码再生成(可以参考我之前的帖子:http://bbs.kesion.com/dispbbs.asp?BoardID=44&ID=93256&replyID=&skin=1)

  2.根据我上面的分析可能是通过后台的模板管理的上传功能挂的马,那我们就临时删除跟上传有关的文件,如

    user/upfilesave.asp,admin/include/upfilesave.asp及admin/ks.template.asp

    当然,如果放假这期间你网站不更新,也可以考虑先将admin管理目录删除

  3.设置下目录权限,特别是template,ks_data,config,api,upfiles,uploadfiles等禁止运行脚本权限

  4.及时的修改下后台的登录密码及认证码

 

以上是我说的临时解决方法,官方演示站从昨天设置了上面权限后至今没有被再次搞过,碰到这么多用户被挂马,作为开发商的我们也同样是比你们还着急,一天下来认真的对程序做了大部分的分析及测试,最新版本均无发现可疑之处,在放假期间官方会在再认真对代码进行测试,也希望有线索的用户积极参与,一旦发现是程序问题我们会第一时间公告漏洞细节及补丁,也希望大家能够理解及一如即往的对我们工作的支持!

 

   

 

 

 

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
sqzxorg 当前离线

617

主题

0

广播

0

粉丝
添加关注
级别:六年级

用户积分:859 分
登录次数:119 次
注册时间:2009/8/31
最后登录:2016/5/28
sqzxorg 发表于:2009/10/9 11:40:00   | 只看该作者 查看该作者主题 沙发 
科汛在线商城系统(NET)

可恶的木马。。。。 

 

现在都一直提心吊胆的,生怕给客户带来麻烦! 哎~~

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
5kcn 当前离线

1387

主题

7

广播

2

粉丝
添加关注
级别:九年级

用户积分:5750 分
登录次数:328 次
注册时间:2007/11/8
最后登录:2021/5/15
5kcn 发表于:2009/10/9 9:02:00   | 只看该作者 查看该作者主题 藤椅 
科汛在线商城系统(NET)

挂马的这些人实在是太可恶了!

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
一个疯朋克 当前离线

546

主题

0

广播

0

粉丝
添加关注
级别:五年级

用户积分:3370 分
登录次数:116 次
注册时间:2008/2/27
最后登录:2009/12/8
一个疯朋克 发表于:2009/10/9 2:29:00   | 只看该作者 查看该作者主题 板凳 
做在线知识付费 选科汛云开店
请不要回那么多废话……谢谢…………
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
西北偏北 当前离线

541

主题

0

广播

0

粉丝
添加关注
级别:五年级

用户积分:3252 分
登录次数:107 次
注册时间:2008/2/26
最后登录:2009/12/25
西北偏北 发表于:2009/10/9 2:05:00   | 只看该作者 查看该作者主题 报纸 
我们的GJ到底是法制还是人治?
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
秋水常天 当前离线

733

主题

0

广播

0

粉丝
添加关注
级别:六年级

用户积分:4075 分
登录次数:381 次
注册时间:2008/2/17
最后登录:2009/12/9
秋水常天 发表于:2009/10/8 22:25:00   | 只看该作者 查看该作者主题 地板 
科汛在线商城系统(NET)
时不时的扔给大家仨瓜俩枣的,中国劳苦大众就好这一口。
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
秋水常天 当前离线

733

主题

0

广播

0

粉丝
添加关注
级别:六年级

用户积分:4075 分
登录次数:381 次
注册时间:2008/2/17
最后登录:2009/12/9
秋水常天 发表于:2009/10/8 16:27:00   | 只看该作者 查看该作者主题 7楼 
科汛在线商城系统(NET)
有些人吃狗都是些没人性的家伙,可恶!!!!(除了杀疯狗的人)
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
秋水常天 当前离线

733

主题

0

广播

0

粉丝
添加关注
级别:六年级

用户积分:4075 分
登录次数:381 次
注册时间:2008/2/17
最后登录:2009/12/9
秋水常天 发表于:2009/10/8 12:07:00   | 只看该作者 查看该作者主题 8楼 
在遇到你之前,我对人世间是否有真
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
longs123 当前离线

74

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:8707 分
登录次数:114 次
注册时间:2009/7/3
最后登录:2018/12/21
longs123 发表于:2009/10/9 10:22:00   | 只看该作者 查看该作者主题 9楼 
科汛智能建站系统
回来一看,再次被挂,完全没有语言。我一直觉得是通过官方公告来散播的
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
sanmey 当前离线

77

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:1232 分
登录次数:80 次
注册时间:2008/11/17
最后登录:2010/3/22
sanmey 发表于:2009/10/9 10:11:00   | 只看该作者 查看该作者主题 10楼 
科汛在线网校系统
官方快点找出原因吧,我已经设置好了权限,管理目录也修改了,数据路径,后台密码等等都复杂了,仍然被挂,才清净了不到十天,郁闷啊,一定是系统还有哪里有漏洞被利用了,加班加点搞好系统的安全吧,期待ing
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行1.82422秒 powered by KesionCMS 9.0