|
|
本人网站金点点信息网(http://www.jdd9.cn)原本是从官方购买正版程序,可是在百度上一搜索,盗版的比正版的还多。
不管你是否用正版还是盗版,为了你的站都看一看
根目录下存在sysconfig.asp文件的朋友注意:
过几天,一位网友加我QQ,说想要我这个程序,并提醒我说我的网站有漏洞,http://www.jdd9.cn/sysconfig.asp(金点点信息网),可以任何修改我的网站基本资料。我一打开果然是这样
打开http://www.jdd9.cn/sysconfig.asp一看,竟然没过滤管理员登陆,而且这本来是应该在管理目录下的,却确实在当前目录下了,我遂将文件内容删除。
根目录下存在const.asp文件的朋友注意:
这是一个根本没有任何用处的文件,记事本打开,你会发现前面几行是乱码,后面是一些什么管理,查看磁盘的,这是一个ASP木马,他可以完全控制你的站,上传,下载,修改,删除,你网站上所有文件。如果服务器安全不足,通过提权可以直接控制你的服务器。
根目录下存在zfb.asp、zfbsm.asp、gozfb.asp文件的朋友请注意:
这可能是官方最新开发的时候用的支付宝控件,也可能是从别的源码复制过来的时候忘记删除了,这三个文件是支持支付宝控件的,如果站里根本没用到支付宝的朋友,可以把这个删除,如果用到的,也需要自己修改加入。我的网站也是存在这几个文件的,http://www.jdd9.cn/zfb.asp,不过现在我已经删除了。
根目录下存在edit文件夹的朋友注意:(正版用户也需要修改)
进入你的网址\edit\admin,帐号密码都是admin,修改一下,顺便说一下,这个版本是存在漏洞的,很多网站可能都有被挂马的现象,尽快这个程序升级(官方的应该是没升级的)。这是新云软件开发的一个组件,免费的,网址是:http://www.ewebsoft.com/,下载最新版本替换。另言之:其实这个是不需要放在根目录下的,是放在管理员目录下的。(官方是放在根目录下的,这样会存在一定的风险,官方测试地址:http://www.jl-e.com/1/edit/editor.asp)结果显示并不是无法找到该页,而是一个空白页,也就是网页是存在的。同时后台的支付方式和关于我们也需要修改,否则不能正常使用了。例如:http://www.jdd9.cn/edit/editor.asp又或者http://www.jdd9.cn/edit/admin/就直接进入管理员了
根目录下存在delay.asp文件的朋友注意:
这个文件是管理网站广告的文件,应该在管理员目录下的,而且应该过滤session管理员是否登陆,不应该放在根目录下的,只要你存在这个文件,直接输入你的网址\delay.asp,就可以任意修改你的网站广告或挂网页木马。
根目录下存在include文件夹的朋友请注意:
看看相对应的是否正确,不然请删除,此文件夹没任何用处的,删除之前仔细看看,不要删错了,最好备份一下。
根目录下存在BBS文件夹并且BBS正在使用的朋友注意:
BBS目录下存在一个typenew.asp文件,这个是管理论坛的文件,最好改名或直接删除BBS文件夹。
官方版本也存在这个漏洞,测试地址:http://www.jl-e.com/1/bbs/typenew.asp(也许官方看到不到几天就会改掉了)。
不管你是不是使用正版或者盗版程序的都请注意:
后台管理员文件夹不要让别人知道,不然你的网站就彻底完了,因为管理文件夹下,有N个文件没有过滤,太多了,我只记得几个,例一下我知道的:
admininfo.asp、admininfochk.asp、admintitle.asp、admintitlechk.asp、bm.asp、CheckPass.asp、dushi114.asp、pay_add.asp、pay_save.asp,这些是我记得的。大家使用吉林信息网程序的朋友,都仔细检查一下,过滤一下。
新增和完善的功能:
我修改这个程序花了两天时间,这两天之中,不断被挂马,不知道是程序本身存在漏洞还是官方对我用盗版的惩罚......
1、修正完善了已知的所有漏洞
2、修正了社区论坛管理,重新整合新的BBS无漏洞论坛,并和后台管理整理合在一起
3、修正了后台管理不能控制未注册用户发布信息需要审合的bug
4、修正了会员发布信息时上传图片位置显示的bug
5、修正了edit文件存在的漏洞并更新
6、修正了木马利用洞漏,修正上传文件的漏洞
7、升级了关于我们和支付方式的编辑控件
8、修正了留言系统一句话木马的插入
9、修正了不能审核信息的功能
10、新增数据库管理功能
11、升级了服务器信息探测功能
12、修正了后台管理退出时不能完全退出BUG
13、新增后台可添加普通管理员,新增的普通管理员可以自定义普通管理员的权限
14、修改了数据库中的bug,并新增了几个表名,配合新增功能使用
15、网页后台美工,前台代码精减,并做了简单的SEO优化,可以让自己的网站更容易的被搜索引擎搜索到
16、加入了在线QQ客服功能
17、增加网站地图功能,更容易让搜索引擎搜索到你的网站
更多小东西小技巧购买之后自己看吧
美工好累,修改好烦琐,因为我已经用上了,不然我就用临沂市场网的核心重新写一套了。所以如果看了之后觉得有必要的就购买,价格300元一套,帮你修改所有已知漏洞的150元,修正后的程序无限制,绝无后门,无BUG,功能比较完善。因为我自己也是使用这个程序,我觉得哪里需要修改升级的,会帮你们也升级,购买了的朋友也可以给我提意见,哪里需要修改需要升级,觉得适合就会升级。我和你们在同一条船上,我才会更专心的去对这个程序进行完美,本人也决定对这套程序一直升级。
每天加我QQ的人太多,不购买也没关系,我并不是为了钱才说出来的。你自己可以修改我说出的这些地方,哪里会再有问题,我会再在我的百度空间里发布(http://hi.baidu.com/湖南金点点)需要购买的朋友再联系我QQ吧:418938000(注明消息:购买吉林信息网修正版)
欢迎大家光临我的站:http://www.jdd9.cn(金点点信息网、金点点)
本人出于好心提醒,在可能有漏洞的网站提醒,希望站长能看到这篇文章,绝对没有恶意修改的嫌疑,请各位站长看到这篇文章不要生气.你想想,如果是一个别有用心的人看到这篇文章,知道你的网站的漏洞,而你又没有及时补上这个漏洞,那你网站还安全吗,并不是象现在这样的只是简单的留下解决方法的网址,可能在你网站上挂马,把你网站全部删除等等.如有作法不当,请见谅吧...
如果觉得我分析的有道理,正确,你是受害者,在此文章下作评论吧.让更多的人知道这个程序并不完善,让更多的受害者有发泄的地方
还有一点,就是这个从官方购买的原装正版程序(原价300元)便宜卖(现价50元),有要的找我(QQ:418938000) |
|
发表于 2009-12-21 18:38:38
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享