入侵者根據(jù)ewebeditor目前存在的漏洞。進(jìn)行上傳ASP木馬。如何得到webshell這里我就不多講了。

以下為解決方案:

一.首先我們進(jìn)入目錄-/manage/Editor 進(jìn)行修改刪除等不必要的文件.以做安全.

1.刪除文件名如下.

Admin_Login.asp.
Admin_Default.asp
Admin_Decode.asp
Admin_ModiPwd.asp
Admin_Private.asp
Admin_Style.asp
Admin目錄文件

2.修改文件
Upload.asp

找到語句.

’ 任何情況下都不允許上傳asp腳本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
改成.

’ 任何情況下都不允許上傳asp腳本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "asa","jsp","cer","php","aspx","htr","cdx")

3.修改數(shù)據(jù)庫文件.

1 . /db/ewebeditor.mdb

修改.

首先打開ewebeditor.mdb數(shù)據(jù)庫文件.進(jìn)行數(shù)據(jù)修改.

eWebEditor_System 表名 sys_UserPass MD5加密密碼.以16位加密更改.

2.eWebEditor_Style 表名.

當(dāng)次站已被入侵后.痕跡處理.以此站為例.修改如下.

id 45 . s_gray 表.S_ImageExt項(xiàng).刪除不安全的后綴.asp|asa
______________________________________________________
前提是此站以被入侵后.如果沒有無須此更改.

3.修改數(shù)據(jù)庫連接.

1.db/ewebeditor.mdb

更改為.asp等格式以防下載.
列:shaoey##.asp

2.數(shù)據(jù)庫連接文件.

Include/Startup.asp

找到語句

’ Access數(shù)據(jù)庫
oConn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath("db/ewebeditor.mdb").

更改為.

’ Access數(shù)據(jù)庫
oConn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath("db/shaoey##.asp").

4.刪除入侵后.后門木馬文件.

200928192929118.asa
Filemap.asp
_________________________________________
可利用200928192929118.asa查找別的目錄是否也存在后門文件.
我們先WEB訪問.200928192929118.asa 文件進(jìn)入密碼為. mima （文件代碼里可以看到此密碼）

找到.查找木馬.

路徑寫 \ .(當(dāng)前網(wǎng)站所有目錄的意思)

查找到為不安全代碼.先用記事本打開.是否是后門木馬.以200928192929118.asa文件代碼為例.

5.ewebeditor.安全修改基本就這樣.

下面我們更改下.網(wǎng)站管理系統(tǒng)安全.

1.修改管理員密碼.
2.修改數(shù)據(jù)庫路徑.

當(dāng)前數(shù)據(jù)庫目錄 /xsdata/myxsdata.mdb

列:改成#shaoey#.asp

以防下載.

數(shù)據(jù)連接文件.Conn.asp