在这里提醒一下本站的管理员要及时更新补丁以免遭殃带来不必要的损失其实早在4月份,PHPWind就给出了漏洞的补丁,只是大部分站长都没有及时更新补丁才会让黑客有机会挂马。这不今天就一个装饰公司的论坛被挂马了,该公司的老总向我紧急求救,当我打开文该公司的论坛时发现页面在打的时候提交了不少本站无关的网址还有主站也被挂马了,不一会儿,电脑就出现问题了,一个字“卡”,没办法只好恢复系统了(我是从来不用杀素毒软件的,因为用过几次,发现越杀越多,而且系统很不稳定,搞半天,还不如恢复呢,只要5分钟就搞定了,我有个习惯,所有资料从不往桌面和C盘里塞,所以不怕恢复时资料没有了,而且不影响系速度呢)。用FTP将所有文件拉下来,一检查发现每个文件里都被挂马了,这还不要紧,最重要的是我在upload文件目录里发现了一个文件,用记事本打开一看,原来就是它挂的马,经过几分钟的检查,该文件为华夏黑客里的会员软件,它可以以ASP、PHP源码像网页一样的在空间上运行。还有其它大量使用PHPwind论坛的用户网站都遭殃了,程度不一,有的数据完全丢失,有的网站跳转到其他位置.共有的特点就是,论坛管理权限给人夺取,网站给插入广告链接或流量代码.由于网络上传播了他人制作的攻击工具,所以给了许多不懂安全的用户......目前受影响的主要版本集中为:5.x.官方已提供解决方法,希望用户及时下载补丁程序.
手工清理步骤如下:
1.打补丁
2.下载修改密码工具修改管理员密码
3.修改管理员邮箱帐号
4.检查后台管理员帐号是否异常
5.检查后台插件是否有异常插件
6.检查核心CSS文件是否有恶意代码
7.修改databbscacheconfig.php 文件 找到
<iframe src=http://xxx.htm width=0 height=0 frameborder=0></iframe>
删除
8.重启apache 系统 或iis
9.清除 /template/wind/live.htm
清除 data/bbscache/admin_recors.php
补丁地址:
补丁使用说明: 解压缩补丁包后将里面的upload目录覆盖论坛目录即可!
5.0.1 版补丁下载地址: http://www.phpwind.com/5.0/safe_repair.zip
5.3 版补丁下载地址: http://www.phpwind.com/5.3/safe_repair.zip
呵呵,还有密呢,这个难不到我,在源代码里就找到了
打开一看,吓一跳,功能还真齐全呀,这还得了!它可以在空间里跳到任何一个目录和文件
 |