http://www.hack58.com/Soft/html/9/18/2009/2009092818050.htm

从录像里可以看出,这些人要先进后台上传小马,实质上这个漏洞官方已经在v6 sp1修复过了.

今天官方分析了好几个站的IIS日志,均是28,29号就将后门上传上去,访问过程大致是

 先访问到admin/ks.template.asp->admin/include/upfilesave.asp->在template目录下出现rss.asa,同样在ks_data下出现kesionbak.asa->这两个都是小马,然后在其它地方放有大马(每个站可能不同),

也就是已经在你的网站上放了定时炸弹,但到昨晚才统一爆发挂马!所以正如网友说的这次确实有点像预谋好的,等大家放假休息了,再给你挂上去.搞得好的流量!

为使大家能过个好的假期,请先按以下方法解决:

  1.找出木马后门,并删除,然后将所有静态文件删除并重新生成,记得先清除template目录下模板里的文件恶意代码再生成(可以参考我之前的帖子:http://bbs.kesion.com/dispbbs.asp?BoardID=44&ID=93256&replyID=&skin=1)

  2.根据我上面的分析可能是通过后台的模板管理的上传功能挂的马,那我们就临时删除跟上传有关的文件,如

    user/upfilesave.asp,admin/include/upfilesave.asp及admin/ks.template.asp

    当然,如果放假这期间你网站不更新,也可以考虑先将admin管理目录删除

  3.设置下目录权限,特别是template,ks_data,config,api,upfiles,uploadfiles等禁止运行脚本权限

  4.及时的修改下后台的登录密码及认证码

以上是我说的临时解决方法,官方演示站从昨天设置了上面权限后至今没有被再次搞过，碰到这么多用户被挂马,作为开发商的我们也同样是比你们还着急,一天下来认真的对程序做了大部分的分析及测试,最新版本均无发现可疑之处,在放假期间官方会在再认真对代码进行测试,也希望有线索的用户积极参与，一旦发现是程序问题我们会第一时间公告漏洞细节及补丁，也希望大家能够理解及一如即往的对我们工作的支持！