动网论坛DvBBS7.1 sp1被挂马,管理员密码被修改
今天早上发现公司论坛被入侵,管理员前后台密码被修改为:12345k,打开论坛版块顶部广告处出现几行空表格, 加载了一木马页:
<iframe src='****'></iframe>
查看论坛日志,分析是通过论坛及相关程序漏洞进进行SQL注入,修改管理员密码,登录管理后在分版里设置的。
由于论坛后台用得不多,直接更改了后台管理文件夹名称,看样子不可能通过论坛后台管理去操控。
接下来首先要做的当然是修改各分版广告设置,把论坛木马先清除了,修改管理员密码。
第一反应是在站点文件夹中找新上传的木马文件,没有。
然后分析原因:
公司论坛比较早了,采用的是动网论坛7.1sp1 SQL版,然后在论坛中增加了一些插件和功能,修改了较多的论坛源文件,不久前接手以来,一直问题不断,既不能直接升级到新版,也不愿放弃原来的插件和新增的功能,也不安排时候对功能进行更新或换代。根据目前网站的总体规划看,这论坛怎么变还没有定论,拖着用呗,既然出问题了,得分析分析,尽量解决为上。
站点文件方面:
论坛文件夹中文件有点杂乱,就文件日期看,没有发现新增文件。
站点权限方面:
论坛文件夹除UploadFiles等上传和要生成文件的文件夹具有写入和删除权限外,其他目录都只有读取权限,没有问题。
数据库方面:
检查Dv_Board表中各栏目允许上传的扩展名,正常。
看样子不是通过上传漏洞来制造麻烦的,应该是利用程序漏洞取得论坛所有权及Webshell,要具体分析哪里出现的漏洞一时还不现实,先从大方向去检查和应对,发现蛛丝马迹再顺藤摸瓜。
由于不方便直接下载最新程序包来更新,只有慢慢找原因了:
看论坛日志是0点过的时候修改的分版广告,当时同一时段注册的一些名称新用户,有个IP来自欧洲的用户名:“我爱你啊”。
注册后回了一篇帖子,发了三主题帖,都是金币论坛交易帖,“需支付 1 个金币查看”
难道是金币交易帖有漏洞?(如果一会找不到合理的原因无论如何得关了论坛发金币交易帖的功能,心想。)
如果是这样,那个简单多了,这可是06年左右的漏洞啊,先汗一个,现在2008,不知道还要补多少漏洞。
打开Savepost.asp
找到“插入回复表”,修改'"&ToolsBuyUser&"'为'"&Dvbbs.Checkstr(ToolsBuyUser)&"',完成。
慎重起见,SQL连接密码也修改了。
---
回顾一下dvbbs7.1 sp1的savepost.asp漏洞注入:
论坛发帖下方有“论坛交易币设置(Buy_UserList)”-看源代码可以知道savepost.asp对Buy_UserList没有过滤,导致可以通过发帖的方式在交易币限制里输入注入代码来做数据库操作。
如输入:
用户名|||123',0);update/**/Dv_User/**/set/**/UserPassword='469e80d32c0559f8'/**/where[UserName]='管理员用户名';--
直接更新管理员用户的密码为admin888,从而取得论坛管理员权限。
MORE: EvilOctal
