动网论坛惊现大漏洞
网络通信
不知道大家有没有发现,最近一段时间很多熟悉的基于动网的论坛陆续出现了不能登录、数据库丢失的情况。莫非是动网论坛出了大Bug?
突发事件
6月的一个中午,当笔者刚组织完论坛活动回到寝室,兴冲冲地打开论坛页面时惊奇地发现主页和论坛首页都被人修改了。当时第一个反应就是FTP密码泄漏了,立刻登录服务器查看主页和论坛文件,发现两个index.asp文件都在,只是登录的时候显示的是另外的页面。
于是笔者又怀疑有人修改了域名指向,马上登录新网查询主域名指向,发现无误。笔者百思不得其解,到底是哪里出问题了呢?于是笔者详细地检查论坛的每一个文件,终于发现了一些问题:
1.表面上看两个index.asp文件都没有丢失,可是打开分析后却发现其内容已经被修改,自动跳转到另外的一个网址。
2.动网论坛数据库(/data下文件)全部被删除,包括开坛2个月来800多个用户的注册资料和5万多张帖子全部丢失。
FTP也没有用户登录记录,黑客究竟是怎么进入主机修改甚至直接删除数据库文件的呢?
笔者带着种种疑问来到动网的主论坛──http://bbs.dvbbs.net,发现论坛上哀声一片,从大量的发帖中反映出最近大批的动网论坛被黑,详细地浏览了一遍终于明白了被黑的原因。
分析原因
下面是动网论坛官方发出的安全警告(如图所示)。
由图中的安全警告我们可以看出,造成这次动网论坛大面积被黑的原因是新发现的文件上传漏洞──upfile.asp漏洞(动网论坛7.0+SP2版本除外)。
利用此漏洞,用户可以上传任何文件至服务器。而这次黑客使用的凶器就是比较新颖的ASP木马(如海阳顶端网ASP木马,冰狐浪子微型ASP木马等),这些木马的后缀名为ASP,和一般普通ASP文件无异,具有很强的隐蔽性。
黑客利用上传漏洞上传这些小巧而功能强大的ASP木马来入侵服务器。和FTP登录不同,这种入侵绕过了FTP登录。由于ASP是一种动态网页解析技术,加上黑客往往会破坏数据库造成整个论坛瘫痪、数据丢失。事后,也没有办法查出入侵者的IP,给我们找出肇事者增加了很大的难度。
此次被黑论坛的共同特征是:
1.论坛版本都是动网7.0+SP2(5月17日升级包)以下版本的论坛,也就是说不是最近升级的版本都有被攻击的危险。可目前动网6.0版本由于小巧,在网络上使用频率非常高。
2.动网是5月17日发布7.0版本的SP2升级包,着重解决了上传文件的安全性问题。可是这个安全包没有得到广大论坛站长的重视,很多站长也没有经常上官方网站下载升级包进行安全升级的习惯(包括笔者),等到论坛被黑已经悔之晚矣。
3.很多人在被黑以后没有重新覆盖所有的ASP文件,留下了隐患,直接导致以后重复被黑。
防范措施
针对动网6.X用户
1.升级论坛版本至7.0+SP2(5月17日升级包),因为只有这个版本在现在看来是最安全的。
2.关闭动网论坛的头像以及文件上传功能,改名或者删除upfile.asp文件,强行堵住漏洞。
3.及时备份数据库文件并下载到本地,把遭到攻击的损失减至最少。
4.经常到动网的官方论坛看看是否有安全告警或者升级包,及时升级系统保障系统安全。
5.一旦发现服务器上有木马活动迹象(如主页被改等),立即下载数据库并用新的论坛文件覆盖服务器上所有的ASP文件。
针对动网7.0用户
1.使用动网7.0的论坛也需要及时地打上SP2补丁,使用原来动网6.X版本的论坛数据库,可以从动网官方论坛下载专门的转换程序把6.X的数据库转换为7.0的数据库。
2.使用动网7.0的论坛最好在后台设置里打开HTML。否则以Design模式发帖,超级链接无效、贴图无法显示。
附:
动网7.0版本官方下载地址:http://bbs.dvbbs.net/download/Dvbbs7.0.0_Ac.exe
SP2(5月17日升级)官方下载地址:http://bbs.dvbbs.net/download/Dvbbs7.0.0_Ac_Sp2.exe