当前位置:
|
主题:[分享]这两天被挂马的注意了 [收藏主题] | 转到: |
 这两天看到部分用户站长被挂马,我整理了一下V6 sp1之前版本的漏洞原因
如果你的程序还没有升级到V6 sp1+你的服务器用的是win 2003+你没有将uploadfiles 目录的可执行权限关闭,可能出现被挂马
起因: 由于win 2003 iis6文件名解析漏洞原因引起的,iis6将会直接解释执行x.asp;x.jpg之类的文件名
V6 sp1之前的版本漏洞运行过程
首先找到使用科汛系统的网站,注册会员,然后输入KS_editor/selectupfiles.asp,这里就可以上传x.asp;x.jpg之类的木马并成功运行!
而这个漏洞sp1升级修复过了....
V6解决方法: 就是升级到v6 sp1,再给你的上传目录加把锁(见:http://bbs.kesion.com/dispbbs.asp?boardid=44&Id=82415) V5.5版本解决方法: 用编辑工具打开user/UpFileSave.asp并找到478行左右 找到以下代码 else else '新增安全判断
增加上面红色的就行了!!!!
这里提醒下广大用户: 1、请务必及时跟着官方的脚本升级你的程序!!!做好自己的安全工作,比如access版本的及时改下数据库名称,修改下后台用户名!!!有服务器的用户请一定做好自己的目录安全,别心存侥幸心理。 2、升级到sp1后,请用科汛后台的在线木马查找功能,找出后门文件并删除(否则你将可能继续被挂马,功亏一篑); 3、一定要删除uploadfiles目录下,类似x.asp;x.jpg的文件 4、已经被挂马的用户,可以用以下工具上传到根目录,把恶意代码替换掉
这里代表广大站长BS一下那些整天只会残害这些无辜站长的所谓hack!有时间就多为中国的互联网贡献吧!
|
|||||
 支持(0) |  反对(0)
 顶端  底部
|
|||||
![电子邮件:[ yishengyouni@kk.com ]](http://bbs.kesion.com/club/images/email.gif){kind=small}
|
以下是引用longs123在2009-9-15 1:39:00的发言:
我估计是通过科讯官方传播的,只有这样才能造成这么多用户的挂马。我建议官方最好关闭和各站长的通讯。
看看这篇文章就知道怎么批量知道科汛做的站 http://hi.baidu.com/snaiujj/blog/item/46280b299f42e8f499250a9d.html |
|
|
支持(0) | 反对(0)
顶端 底部
|
 以下是引用xxxcn在2009-9-15 5:06:00的发言:
不过还是有个疑问。黑客是怎么知道我网站的呢?我根本就没做宣传啊。刚刚建站没几天。百度和谷歌搜索关键词都搜不到我。除非搜我很偏的网站名字。但是一般人都不知道。令人费解。
看看这篇文章就知道怎么批量知道科汛做的站 http://hi.baidu.com/snaiujj/blog/item/46280b299f42e8f499250a9d.html
|
|
|
支持(0) | 反对(0)
顶端 底部
|
 以下是引用greenice在2009-9-14 22:31:00的发言:
楼主, 我的网站 uploadfiles 文件件 早已被设置 了 “可执行权限关闭” 也升级到了最新版本。 可是依然被挂马了啊, 网站后台登陆日志 也显示正常。 是不是网站哪里有漏洞了啊。
利用后台的在线木马查找功能,能不能找出木马?还要考虑服务器的arp攻击! |
|
|
支持(0) | 反对(0)
顶端 底部
|
|
|
|
支持(0) | 反对(0)
顶端 底部
|
|
以下是引用阳光黑子在2009-9-14 21:37:00的发言:
安全设置中,说的有写入权限以外的,都是只读就可以? 更重要的是哪个uploadfiles目录禁止执行,看 http://www.kesion.com/kfrz/9573.html
|
|
|
支持(0) | 反对(0)
顶端 底部
|
| <上一主题 | 下一主题 > |