这两天看到部分用户站长被挂马,我整理了一下V6 sp1之前版本的漏洞原因
如果你的程序还没有升级到V6 sp1+你的服务器用的是win 2003+你没有将uploadfiles 目录的可执行权限关闭,可能出现被挂马
起因:
由于win 2003 iis6文件名解析漏洞原因引起的,iis6将会直接解释执行x.ASP/' target='_blank' class='infotextkey'>asp;x.jpg之类的文件名
V6 sp1之前的版本漏洞运行过程
首先找到使用科汛系统的网站,注册会员,然后输入KS_editor/selectupfiles.asp,这里就可以上传x.asp;x.jpg之类的木马并成功运行!
而这个漏洞sp1升级修复过了....
V6解决方法:
就是升级到v6 sp1,再给你的上传目录加把锁(见:http://bbs.kesion.com/dispbbs.asp?boardid=44&Id=82415)
V5.5版本解决方法:
用编辑工具打开user/UpFileSave.asp并找到478行左右
找到以下代码
else
SameFileExistTF = True
End If
if CheckFileType(AllowExtStr,FileExtName) = False then
ErrStr = ErrStr & FileName & "文件上传失败,文件类型不允许n允许的类型有" + AllowExtStr + "n"
end if
并修改成
else
SameFileExistTF = True
End If
'新增安全判断
if instr(FileName,";")>0 or instr(lcase(FileName),".asp")>0 then
ErrStr = ErrStr & FileName & "文件上传失败,文件名不合法n"
end if
if CheckFileType(AllowExtStr,FileExtName) = False then
ErrStr = ErrStr & FileName & "文件上传失败,文件类型不允许n允许的类型有" + AllowExtStr + "n"
end if
增加上面红色的就行了!!!!
这里提醒下广大用户:
1、请务必及时跟着官方的脚本升级你的程序!!!做好自己的安全工作,比如access版本的及时改下数据库名称,修改下后台用户名!!!有服务器的用户请一定做好自己的目录安全,别心存侥幸心理。
2、升级到sp1后,请用科汛后台的在线木马查找功能,找出后门文件并删除(否则你将可能继续被挂马,功亏一篑);
3、一定要删除uploadfiles目录下,类似x.asp;x.jpg的文件
4、已经被挂马的用户,可以用以下工具上传到根目录,把恶意代码替换掉
新闻热点
疑难解答
图片精选
