账号通
    

账号  

密码  

3817

查看

8

回复
主题:所谓的hack是这样批量找到使用科讯cms的网站 [收藏主题] 转到:  
52niuren 当前离线

69

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:623 分
登录次数:75 次
注册时间:2009/8/20
最后登录:2010/11/11
52niuren 发表于:2009/9/15 15:54:00   | 显示全部帖子 查看该作者主题 楼主 
科汛智能建站系统

中午起床上了论坛,简直惨不忍睹,到处都是喊被挂马的

还好自己的破站没被挂马,看了下网站统计及注册用户,发现也人尝试攻击过本站

因为20多个用户全是自己注册的,突然冒出两个陌生用户

半夜光临小站,也太捧场了点吧,看了下统计到的ip

以及访问页面:

 

得到他们使用的关键词

谷歌搜索:allinurl:Club\Display.asp

 

另外在查看统计ip时发现了类似的

 

使用的第二个关键词时

谷歌搜索:inurl:plus/Comment.asp?ChannelID=

 

-------

allinurl:Club\Display.asp
http://www.google.cn/search?hl=zh-CN&num=100&newwindow=1&q=allinurl%3AClub%5CDisplay.asp&btnG=Google%20%E6%90%9C%E7%B4%A2&aq=f&oq=

inurl:plus/Comment.asp?ChannelID=
http://www.google.cn/search?hl=zh-CN&newwindow=1&q=inurl:plus/Comment.asp%3FChannelID%3D&start=60&sa=N

 

估计攻击者就是这样子搜索到使用科讯CMS的网站了,水贴...

 

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
52niuren 当前离线

69

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:623 分
登录次数:75 次
注册时间:2009/8/20
最后登录:2010/11/11
52niuren 发表于:2009/9/17 0:02:00   | 显示全部帖子 查看该作者主题 沙发 
科汛智能建站系统

先囧下下,应该是hacker

这次事件的根源在于其实在于iis解析漏洞,科讯只是受害之一,同样的漏洞也可以用在fckeditor等其他编辑器,前提上传的文件不被重命名

之初躺床上wap看到这个解析漏洞公布(http://www.hacksb.cn/post/88.html

就下床在自己站测试了下,虽然上传上去了,但是按官方的设置,uploadfiles禁用脚本执行,因此没事(本以为各位也都会按官方的那个介绍设置,回帖的那么多)。

而后来针对科讯cms的利用文章在12日就发表在红黑了,(http://www.7747.net/Article/200909/41435.html

等到14日大规模被挂其实算晚了

科讯官方的补丁升级很及时,诸位站长如果注意下下置顶帖的关于目录的安全设置禁用uploadfiles执行权限就不会遭殃了

算作马后炮吧........

 

现在看到论坛有些人发帖说网站还被挂马,其实原因很简单

1,hacker留下的后门没被清理干净。

2,服务器都被拿下了,就算你网站安全做到家,人家GUI界面下依然轻松挂马。

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.07813秒 powered by KesionCMS 9.0