“黑掉”Dvbbs 7.1 Sp1的步骤详解,无图。
最近一打开论坛专区,满目皆“黑”,很多人不明所以,始终在怀疑DVBBS本身的安全问题,那么DVBBS到底有没有安全问题呢?答案是:有,因为谁也不敢保证自己的程序永远百分之百的安全。但是大家请绝对放心,DVBBS至少到目前为止还没有新的漏洞被发现,因此可以说在目前为止它本身是绝对安全的,因此各位在这里相继含冤被黑的哥们请还是在自身先找找原因吧。
这里我就我个人的了解说一下最常见的DVBBS被黑的过程,希望对大家有所帮助以及提高防范意识,这里仅是文字描述,没有相关图片说明,一来是不想说的太过明白,让小人依葫芦画瓢去害人,二来最主要是配图实在麻烦,打字已经很不容易了。
目前大概这里被黑的绝大多数网友被黑大概都是基于两点,一是通过获取后台帐号密码后在前台上传图片死木马,然后通过后台备份方式转换成.asp的活木马;第二种方式一般是属于跨站攻击了,这种一般是发生在那些服务器安全做的超级差的空间商那里,跟各位哥们自身安全措施无关。
先说第一种:通过获取后台帐号密码后在前台上传图片死木马,然后通过后台备份方式转换成.asp的活木马。
这种方式最关键的当然是拿到后台管理员帐号密码了,现在也没有什么直接的办法获得DVBBS管理员后台密码,除非你点子实在低被人猜到后台密码了,另外一般是因为很多站长根本没把dvbbs7.mdb的默认数据库文件改名,这样别人很轻易就通过http//www.*****.com/data/dvbbs7.mdb下载到你的数据库。
那到数据库第二步就是如何通过拿到的数据库找密码了,大家都知道DVBBS7的密码都是16位MD5加密的,实际上拿到密码也没用,你根本不知道明文是什么。这里有两种方法:一是把16位MD5加密的密码通过软件暴力猜解,象这种情况那些把密码设置成为纯数字,纯字母,什么自己生日,女朋友生日的家伙就倒霉了,尤其是6位8位的,有个专门猜解网站在上面只要几秒钟就能算出你的真实密码,即使是通过软件纯暴力猜解也花不了多少时间;第二种方法就是通过数据库里的日志文件来找密码了,通常很多站长不习惯清理论坛日志文件,因此论坛在修改密码之后,那么这个修改密码的过程也就被论坛原原本本的记录到日志记录了,这上面很清楚的记录了原始密码:admin888以及你后来改成的密码内容,因此只要把数据库里的Dv_log表中按照pass关键字进行检索,这样就能很轻易找到你论坛的后台帐号密码了。
呵呵,只要拿到后台登陆帐号密码,那么DVBBS就等于被黑了,因为后面要上传木马实在太容易了。看到这里很多人也许认为:切!Dvbbs 7.1 Sp1早就修补了通过备份方式上传木马的漏洞,除了.mdb文件,其他任何伪造的文件都无法进行备份或者恢复操作。是的,这一点确实Dvbbs 7.1SP1已经修补,但是仍然有方法能绕过验证将死马变活马。
上面已经说过,新版DVBBS加强了验证,只允许.mdb文件进行备份和恢复,那么我们就给它弄个.mdb木马,方法很简单:
1,新建或者随便找个.mdb的数据库,注意体积尽量小一点,而且是正常的数据库文件。
2,打开数据库,如果是空库请新建一个表以及一个字段,内容随便输入。然后在数据库设计视图内新建一个字段,字段名称随便,数据类型选OLE对象,这是关键,别搞错,然后保存。
3,回到数据库主界面,打开刚才被插入OLE对象的表,你会发现被你插入OLE对象的字段值显示“长二进制数据”,选中它,然后鼠标右键选插入对象,在打开的对话框中选“由文件创建”这一项,然后在浏览中选中你本机的ASP木马文件,木马文件一定要小,越小越好。
4,选中后点击确定,这样一个asp木马就被插入数据库中了。这个数据库是觉得合法的死马,它完全被DVBBS7认可,并逃过DVBBS验证机制的检查。
木马做好了,后面的步骤就简单了,就是在后台版面设置中把上传文件类型增加一个mdb格式,然后在前台上传刚才制作的.mdb木马数据库,最后就是通过老套的后台备份方式或者恢复备份方式把这个死的.mdb马变成活的.asp木马了,然后你当然就可以为所欲为想怎么折腾这论坛就怎么折腾了。
第二种方式就是跨站攻击了,这种实在没什么好说的,也就是假如空间商安全做的不好,那么只要其中一个站被黑,那么黑客就可以在该站通过木马浏览到同WEB目录中的其他站点类容,而且具有完全的操作权限,对于这样的空间商你只能自认倒霉了,无论你怎么做安全都这能成为别人菜的对象,这就是为什么很多人说我明明按照DV高手讲的把论坛安全都做好了,但还是不停的被黑呢,问题就在这里了。
所以最后总结一下,如果要想避免被黑,那么自己要有安全意识是必须的,装好论坛后一定要做以下步骤工作:
1,立即修改论坛前后台密码,而且前后台用户名密码尽量不要相同,因为如果是老版本的论坛有方法可以获得前台帐号密码的,这样不等于你后台也被攻陷了;另外一点就是密码尽量复杂一点。
2,第二步就是数据库了,一定要把默认的数据库dvbbs7.mdb进行改名,哪怕只是将dvbbs7.mdb改成dvbbs7.asp也好,这样黑客就无法下载你的数据库了,注意修改后要对应把conn.asp文件中的连接名修改一下,保持文件名一致。
3,清理掉论坛的以前的日志记录,这样即使拿到你的数据库也无法直接知道密码,只能靠暴力猜解,而暴力猜解只要是稍微复杂点的密码根本就没法猜的出来。
4,其实做好前面几步已经有一个安全的动网论坛了,这些都是最基本的,却往往又让广大动网爱好者站长所忽略,另外就是如果是老版本的论坛一定要记得升级到最新版从而避免因为以前版本的漏洞导致被黑。
5,对于跨站攻击如果你是租用的空间的话是无法防范的,只能说选择一个好的空间商了,购买空间后自己先用ASP木马测试下空间的基本安全是否合格。我也是空间商,以我自己的经验给大家建议一下最好不要去选择那些所谓的全能空间,全能基本上等于全“洞”,没点技术功底就搞全能空间那是找死,如果仅仅是支持ASP的空间安全是非常好做的,但是一全能就比较难了。
呵呵,希望大家看完这篇文章能有所启示,好好检查下自己论坛是否有所遗漏。“黑掉”二字用引号其实不能说是被黑了,因为一点技术含量都没有,只是因为大家的疏忽所造成的。
-----------------------心跳补充,对于有服务器的用户建议------------------------
补丁两句多余的话(仅对有服务器管理权的站长):
一、coboy提到了下载mdb数据,这个可以在IIS中设置一下就可以防范的,在映射文件类型中(IIS属性-->主目录-->配置-->映射),添加mdb文件类型,映射程序选中asp.dll,或者任意一个DLL文件即可,这样的MDB数据库根本就无法下载了。
二、网站所在文件夹,除了几个必须要给予写权限的文件夹(data[数据库所在目录] | uploadfile[上传文件所在目录] | uploadface[上传头像所在目录] | previewimage[使用ASPJPEG组件时需要使用到此文件夹] | Dv_fourmnews[首页调用的config文件所在目录] | Skins[编辑CSS和导出风格时需要使用])以后,其他文件夹及文件只给读取权,不给写入权,另个uploadfile、uploadface、data、backupdata这几个目录不要给执行脚本的权限,执行权限设置为“无”,就算传上木马也无法运行。
再加上这两样设置,一般毛贼根本不能黑了你
- 上一篇文章:完全自定制横空出世 开创主机新纪元
- 下一篇文章:网贼自曝偷QQ号日进千元
- 查看2006年10月的文章归档