当前位置:
|
主题:[公告]郑重声明:挂马者及被挂马的用户注意了 [收藏主题] | 转到: |
 挂马者:在祖国六十华诞,大家都沉醉在刚开始的8天长假时,为了你自己的私利,换来成千上万人的痛骂,你觉得舒服吗,你的良心会安吗? 提醒你请尽快停止你的罪恶行为,否则必会糟法律的制裁及天遣!
致广大被挂马者: 本次挂马我们也深表歉意,甚至有部分用户怀疑是我们官方自己的行为,在此我们郑重声明"官方绝对不会做出这种事,官方程序从第一个版本至今从未放过任何后门,官方更希望用户的网站都能好,只有用户好了,科汛才会更好!"。
本次的挂马现象均为在template目录下多出 rss.asa 及 ks_data目录下多邮 kesionbak.asa两个一句话木马文件
以下是我们针对此次挂马的初步猜测: 猜测1:此次挂马起因跟admin/ks.template.asp 及 admin/include/upfilesave.asp这两个文件有关,一部分用户在下载科汛软件后,没有及时的将数据库(ks_data/kesioncms6.mdb)更名,导致数据库被下载,后台密码被破,还有用户,没有及时将默认管理员密码(admin888)进行修改,为了方便关闭了后台验证码,这些都可能导致后台被入侵,从而上传木马。经过分析部分被挂马的网站IIS志志,出现通过ks.template.asp文件上传了类似 aa.asp;.html的模板文件,如果没有将template目录的脚本权限禁止掉,利用IIS6 解释文件名的漏洞,就会被执行从而导致挂马! 解决:及时改数据库名称,及后台密码,认证码,尽量设置ks_data,template,uploadfiles目录不要给执行脚本的权限 猜测2:部分用户反应自己的网站根本就还没有被搜索引擎收录,也同样被挂马了。这里我们初步怀疑挂马者后台科汛后台的在线升级检测进行监控拦截,导致你的域名被知道。可以先打开admin/ks.update.asp,将自动检查新版关闭 '是否允许自动检测最新版本 true 允许 false 不允许
在没有确切知道具体挂马原因前,建议先删除admin/ks.template.asp和admin/upfilesave.asp文件,也希望被挂马的用户,能提供IIS日志的,跟帖上传!以便我们进一步分析具体操作过程!
另外说明下:世上没有100%安全的系统,也没有哪家开发家肯保证自己的程序100%安全,漏洞往往是不断的发现及修复,很大一部分的漏洞是操作系统最新爆露挖掘出来的。就比如前段时间的IIS 6文件解释执行漏洞!
|
|
 支持(0) |  反对(0)
 顶端  底部
|
![电子邮件:[ kesioncms@kesion.com ]](http://bbs.kesion.com/club/images/email.gif){kind=small}
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
 以下应该是网站被挂马部分的日志
2009-10-03 19:53:40 POST /center/Template/rss.html.asp;.html - 211.174.62.68 HTTP/1.1
2009-10-03 19:53:40 POST /center/Admin/Skin/5/inedx.asp - 211.174.62.68 HTTP/1.1
2009-10-03 19:53:41 POST /center/Menu/KS_Inc/ad/bottum.asp - 211.174.62.68 HTTP/1.1
2009-10-03 19:53:41 POST /center/Admin/Images/View/C00N.asp - 211.174.62.68 HTTP/1.1
2009-10-03 19:53:41 POST /center/Wap/help.asp;.jpg - 211.174.62.68 HTTP/1.1
2009-10-03 19:53:43 POST /center/Template/rss.html.asp;.html - 211.174.62.68 HTTP/1.1 -
/center/Template/rss.html.asp;.html?nor=0&en=0&asp=0&dot=1 200 0 390
2009-10-03 19:53:48 POST /center/Template/rss.html.asp;.html -
2009-10-03 19:59:07 GET /robots.txt - 220.181.94.216 HTTP/1.1 - - 404 0 1445
以下不知是什么
2009-10-03 20:02:46 GET /center/Article/Print.asp - 220.181.94.216 HTTP/1.1 Sogou+web+spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07) - 200 0 2533
2009-10-03 20:02:46 GET /center/Article/ShowInfo.asp - 220.181.7.132 HTTP/1.1 Baiduspider+(+http://www.baidu.com/search/spider.htm) - 500 0 537
2009-10-03 20:02:55 GET /center/User/user_payonline.asp - 220.181.94.216 HTTP/1.1 Sogou+web+spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07) - 200 0 285
2009-10-03 20:03:04 GET /center/Article/ShowClass.asp - 220.181.7.77 HTTP/1.1 Baiduspider+(+http://www.baidu.com/search/spider.htm) - 500 0 537
|
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
| <上一主题 | 下一主题 > |