|
主题:所谓的hack是这样批量找到使用科讯cms的网站 [收藏主题] | 转到: |
中午起床上了论坛,简直惨不忍睹,到处都是喊被挂马的 还好自己的破站没被挂马,看了下网站统计及注册用户,发现也人尝试攻击过本站 因为20多个用户全是自己注册的,突然冒出两个陌生用户 半夜光临小站,也太捧场了点吧,看了下统计到的ip 以及访问页面:
得到他们使用的关键词 谷歌搜索:allinurl:Club\Display.asp
另外在查看统计ip时发现了类似的
使用的第二个关键词时 谷歌搜索:inurl:plus/Comment.asp?ChannelID=
------- allinurl:Club\Display.asp inurl:plus/Comment.asp?ChannelID=
估计攻击者就是这样子搜索到使用科讯CMS的网站了,水贴...
|
|
支持(0) | 反对(0) 顶端 底部 |
先囧下下,应该是hacker 这次事件的根源在于其实在于iis解析漏洞,科讯只是受害之一,同样的漏洞也可以用在fckeditor等其他编辑器,前提上传的文件不被重命名 之初躺床上wap看到这个解析漏洞公布(http://www.hacksb.cn/post/88.html) 就下床在自己站测试了下,虽然上传上去了,但是按官方的设置,uploadfiles禁用脚本执行,因此没事(本以为各位也都会按官方的那个介绍设置,回帖的那么多)。 而后来针对科讯cms的利用文章在12日就发表在红黑了,(http://www.7747.net/Article/200909/41435.html) 等到14日大规模被挂其实算晚了 科讯官方的补丁升级很及时,诸位站长如果注意下下置顶帖的关于目录的安全设置禁用uploadfiles执行权限就不会遭殃了 算作马后炮吧........
现在看到论坛有些人发帖说网站还被挂马,其实原因很简单 1,hacker留下的后门没被清理干净。 2,服务器都被拿下了,就算你网站安全做到家,人家GUI界面下依然轻松挂马。 |
|
支持(0) | 反对(0) 顶端 底部 |
<上一主题 | 下一主题 > |