中午起床上了论坛，简直惨不忍睹，到处都是喊被挂马的

还好自己的破站没被挂马，看了下网站统计及注册用户，发现也人尝试攻击过本站

因为20多个用户全是自己注册的，突然冒出两个陌生用户

半夜光临小站，也太捧场了点吧，看了下统计到的ip

以及访问页面：

得到他们使用的关键词

谷歌搜索：allinurl:Club\Display.asp

另外在查看统计ip时发现了类似的

使用的第二个关键词时

谷歌搜索：inurl:plus/Comment.asp?ChannelID=

-------

allinurl:Club\Display.asp
http://www.google.cn/search?hl=zh-CN&num=100&newwindow=1&q=allinurl%3AClub%5CDisplay.asp&btnG=Google%20%E6%90%9C%E7%B4%A2&aq=f&oq=

inurl:plus/Comment.asp?ChannelID=
http://www.google.cn/search?hl=zh-CN&newwindow=1&q=inurl:plus/Comment.asp%3FChannelID%3D&start=60&sa=N

估计攻击者就是这样子搜索到使用科讯CMS的网站了，水贴...

先囧下下，应该是hacker

这次事件的根源在于其实在于iis解析漏洞，科讯只是受害之一，同样的漏洞也可以用在fckeditor等其他编辑器，前提上传的文件不被重命名

之初躺床上wap看到这个解析漏洞公布（http://www.hacksb.cn/post/88.html）

就下床在自己站测试了下，虽然上传上去了，但是按官方的设置，uploadfiles禁用脚本执行，因此没事（本以为各位也都会按官方的那个介绍设置，回帖的那么多）。

而后来针对科讯cms的利用文章在12日就发表在红黑了，（http://www.7747.net/Article/200909/41435.html）

等到14日大规模被挂其实算晚了

科讯官方的补丁升级很及时，诸位站长如果注意下下置顶帖的关于目录的安全设置禁用uploadfiles执行权限就不会遭殃了

算作马后炮吧........

现在看到论坛有些人发帖说网站还被挂马，其实原因很简单

1，hacker留下的后门没被清理干净。

2，服务器都被拿下了，就算你网站安全做到家，人家GUI界面下依然轻松挂马。