账号通
    

账号  

密码  

3758

查看

8

回复
主题:所谓的hack是这样批量找到使用科讯cms的网站 [收藏主题] 转到:  
52niuren 当前离线

69

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:623 分
登录次数:75 次
注册时间:2009/8/20
最后登录:2010/11/11
52niuren 发表于:2009/9/15 15:54:00   | 只看该作者 查看该作者主题 楼主 
科汛在线考试系统(NET)

中午起床上了论坛,简直惨不忍睹,到处都是喊被挂马的

还好自己的破站没被挂马,看了下网站统计及注册用户,发现也人尝试攻击过本站

因为20多个用户全是自己注册的,突然冒出两个陌生用户

半夜光临小站,也太捧场了点吧,看了下统计到的ip

以及访问页面:

 

得到他们使用的关键词

谷歌搜索:allinurl:Club\Display.asp

 

另外在查看统计ip时发现了类似的

 

使用的第二个关键词时

谷歌搜索:inurl:plus/Comment.asp?ChannelID=

 

-------

allinurl:Club\Display.asp
http://www.google.cn/search?hl=zh-CN&num=100&newwindow=1&q=allinurl%3AClub%5CDisplay.asp&btnG=Google%20%E6%90%9C%E7%B4%A2&aq=f&oq=

inurl:plus/Comment.asp?ChannelID=
http://www.google.cn/search?hl=zh-CN&newwindow=1&q=inurl:plus/Comment.asp%3FChannelID%3D&start=60&sa=N

 

估计攻击者就是这样子搜索到使用科讯CMS的网站了,水贴...

 

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
52niuren 当前离线

69

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:623 分
登录次数:75 次
注册时间:2009/8/20
最后登录:2010/11/11
52niuren 发表于:2009/9/17 0:02:00   | 只看该作者 查看该作者主题 沙发 

先囧下下,应该是hacker

这次事件的根源在于其实在于iis解析漏洞,科讯只是受害之一,同样的漏洞也可以用在fckeditor等其他编辑器,前提上传的文件不被重命名

之初躺床上wap看到这个解析漏洞公布(http://www.hacksb.cn/post/88.html

就下床在自己站测试了下,虽然上传上去了,但是按官方的设置,uploadfiles禁用脚本执行,因此没事(本以为各位也都会按官方的那个介绍设置,回帖的那么多)。

而后来针对科讯cms的利用文章在12日就发表在红黑了,(http://www.7747.net/Article/200909/41435.html

等到14日大规模被挂其实算晚了

科讯官方的补丁升级很及时,诸位站长如果注意下下置顶帖的关于目录的安全设置禁用uploadfiles执行权限就不会遭殃了

算作马后炮吧........

 

现在看到论坛有些人发帖说网站还被挂马,其实原因很简单

1,hacker留下的后门没被清理干净。

2,服务器都被拿下了,就算你网站安全做到家,人家GUI界面下依然轻松挂马。

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
cnjdv 当前离线

84

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:620 分
登录次数:8 次
注册时间:2009/7/14
最后登录:2009/11/21
cnjdv 发表于:2009/9/16 10:08:00   | 只看该作者 查看该作者主题 藤椅 
科汛在线考试系统(NET)
 是呀。。。。。。。。。。
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
cn450041399 当前离线

119

主题

0

广播

0

粉丝
添加关注
级别:一年级

用户积分:763 分
登录次数:35 次
注册时间:2008/6/30
最后登录:2014/2/22
cn450041399 发表于:2009/9/16 10:03:00   | 只看该作者 查看该作者主题 板凳 
做在线知识付费 选科汛云开店
好像小论坛 可以上传一些图片的。
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
xhcyy 当前离线

468

主题

0

广播

0

粉丝
添加关注
级别:四年级

用户积分:4231 分
登录次数:337 次
注册时间:2006/11/8
最后登录:2014/4/26
xhcyy 发表于:2009/9/16 9:41:00   | 只看该作者 查看该作者主题 报纸 
做在线知识付费 选科汛云开店
现在使用通用cms,就感觉就像本来是挡着帘子ml,现在用关键词一搜索,就像帘子突然被人掀开了,赤裸裸暴露在众人面前...........
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
wxw323 当前离线

35

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:409 分
登录次数:13 次
注册时间:2009/8/27
最后登录:2009/11/16
wxw323 发表于:2009/9/16 9:18:00   | 只看该作者 查看该作者主题 地板 
就是,我在GOOGLE搜素到得好多网站,打开都有木马
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
孤风大虾 当前离线

1700

主题

7

广播

118

粉丝
添加关注
级别:高一年

用户积分:10218 分
登录次数:451 次
注册时间:2006/3/28
最后登录:2022/3/10
孤风大虾 发表于:2009/9/15 18:35:00   | 只看该作者 查看该作者主题 7楼 
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
cool_vc 当前离线

39

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:480 分
登录次数:3 次
注册时间:2009/5/21
最后登录:2009/9/29
cool_vc 发表于:2009/9/15 17:51:00   | 只看该作者 查看该作者主题 8楼 
科汛在线考试系统(NET)

可否改自己的robots.txt

 

拒绝蜘蛛?

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
yunuo2009 当前离线

204

主题

11

广播

1

粉丝
添加关注
级别:二年级

用户积分:1719 分
登录次数:301 次
注册时间:2009/6/26
最后登录:2021/9/22
yunuo2009 发表于:2009/9/15 16:22:00   | 只看该作者 查看该作者主题 9楼 
做在线知识付费 选科汛云开店

我顶你楼主

 

 

楼主提供的关键词  真的很正确,尤其是这个关键次: allinurl:Club\Display.asp

 

 

在谷歌里面 一搜索,网站简直就是一大把一大把的

 

好像是通过V6的小论坛进来的

 

我网站全部删了,然后有部分文件  删除不掉,下载最新版SP1上传了。就那样  看他们还来不来????

 

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行6.87500秒 powered by KesionCMS 9.0