使用動網論壇如何查殺和防範木馬

2021-03-31 08:56:59 字數 3104 閱讀 8391

首先,在這裡感謝"黑客"們,動網發展的過程中確實抹不去他們的身影。這裡之所以打上引號,並沒有貶低的意思,而是指那些真正精通**的,憑自己精深的技術發現和利用程式漏洞的人,他們一般並不做什麼破壞,只是在研究中找到樂趣。我個人認為正是他們的存在促進了技術的快速發展。而對於普遍存在的"工具使用者"一族,他們大多數除了做些搗亂、破壞並自封為黑客等另人厭惡的事情外,似乎一無所長。

言歸正傳,最近一些黑客研究動網論壇**發現通過某種欺騙方式可以繞過程式上傳任意檔案,再利用上傳的惡意**幾乎可以做到他想做的一切事情。這個漏洞影響的動網論壇版本是7.0sp2以前的所有版本,同時理論上也影響任意使用了類似程式開發的所有站點。針對此漏洞,動網強烈建議您馬上公升級到最新版本,相關位址如下:

如果你不幸已經中標,我根據經驗提供一些針對動網論壇的簡單的查殺惡意**(木馬)的方法,查殺的效果和你付出的細心程度是成正比的,準備好你的耐心,跟我一步步走。

2004-5-26 21:10:36,小黑告訴我他的論壇首頁被人改了,我馬上登陸他的**,發現論壇首頁檔案被改,找他要來ftp帳號密碼,登陸ftp仔細檢視。他的空間只放了乙個動網論壇,根據頁面被改的情況分析應該是被人上傳了木馬程式修改,於是我開啟flashfxp,選擇工具,選擇在ftp伺服器上查詢檔案,圖1。

一般木馬應該是asp檔案,我在名稱那裡輸入*.asp,點立即查詢,圖2。

耐心等待了一會,結果出來了,我點了一下"於資料夾"讓查詢的檔案以資料夾方式排列。由於採用的是動網論壇,**結構比較清晰,除了根目錄和inc目錄外,其它目錄不應該存在任何asp檔案,現在在uploadface目錄下存在乙個可疑檔案haha.asp,我又點了一下"修改時間"以最後修改時間排列,發現這個檔案是最新修改過的,確實非常可疑,為了不錯刪,於是我選中它,在選檢視,用檢視源**的方式確定它確實是個木馬程式,既然確定了就不要猶豫,刪!圖3。

想到iis還映**其它型別的檔案被asp.dll解釋,我就如圖2般又搜尋了*.cer,*.cdx,*.asa,*.htr,這些檔案找到乙個就刪乙個,因為程式根本用不著他們。

嘿嘿,沒想到沒用2分鐘就解決了問題,我正在得意,突然想到如果黑客修改了正常的檔案增加了惡意**怎麼辦?檔案內容用ftp可沒辦法查,只能全部下回來了查了,upload那幾個目錄有好幾百m,我就不下了,只要確保裡邊沒有asp等可執行檔案就行,資料庫也不用下了,其它檔案都通通下回來。圖4。

可能性

解決方法

動網包含此

vbscript.encode

100%刪除無

海洋100%刪除無

稻香100%刪除無

冰點100%刪除無

0d43fe01-f093-11cf-8940-00a0c9054228

100%刪除無

093ff999-1ea0-4079-9525-9614c3504b74

100%刪除無

72c24dd5-d70a-438b-8a42-98424b88afb8

100%刪除無

createtextfile

100%刪除無

eval(r

100%刪除無

execute request

100%

刪除或替換

無一般是在正常檔案中加入如

execute request("x")

來執行非正常**

建議替換

execute session

100%

刪除或替換

無,同上

opentextfile

100%刪除無

writeline

100%刪除無

wscript

100%刪除無

5xsoft

100%刪除無

scripting.dictionary

100%刪除無

request.binaryread

100%刪除無

deletefile

90%刪除或替換

admin_bbsface.asp

admin_data.asp

admin_postings.asp

admin_uploadlist.asp

admin_upuse***ce.asp

upfile.asp

movefile

90%刪除或替換

reg.asp

getfile

90%刪除或替換

reg.asp

showimg.asp

viewfile.asp

=vbs

90%刪除或替換

dv_ubbcode.asp

如果您對伺服器有操作權,建議您再做如下設定:

進入站點屬性,選主目錄,點配置,將不需要的指令碼對映全部刪除,一般只保留.asp就可以了,其它的全部可以刪除,圖7。

在iis中選取uploadface,屬性,將執行許可設定為無,還需要設定的還有uploadfile,previewimage這兩個目錄,如果你願意的話,可以將除了inc目錄外的其它所有目錄可執行許可權都設定為無。

至此查木馬的工作可以告一段落了,再來總結歸納一下方法

1、在**結構清楚的情況下,瀏覽目錄法能快速確定木馬,在不該出現的地方出現的檔案,管他是不是木馬都可以刪。

2、時間比較法,記住自己最後更新檔案的時間,出現在該時間以後的可執行指令碼一定有問題,但是注意,資料庫的更新時間總是最新的,不要誤刪哦。

3、對比法,此方法上邊沒做詳細說明,其實也就是本地保留乙份完整備份,需要的時候使用ftp工具的比較功能進行比對。

說來說去,防更勝於殺,經常關注動網官方論壇 http://bbs.dvbbs.*** ,及時打上最新補釘,盡量不安或少安外掛程式,才是保證你的論壇正常執行的不二法則。

海口動網先鋒網路科技****

2004-5-26

網友sigporsson補充:有一點應該注意,如果確實發現木馬了,處理完畢之後,應該將具有管理許可權的各類帳號都進行修改。包括論壇的帳號、資料庫帳號以及伺服器作業系統帳號、ftp 帳號等~

網友***guest補充:如果你的論壇裡,有類似**: