信息来源:21safe
Discuz.net被黑并非由于论坛漏洞造成
discuz里面的朋友介绍了关于前几天被黑的真正内幕:
感谢一位朋友的匿名投递:
昨天与朋友聊天得知,被黑的过程是这样的:
剑心与9xiao,首先是访问到了discuz服务器上的一个旧版本的supesite演示版,他们很轻易地登陆到了管理后台.因为演示版是官方在更新 supesite版本之后,忘记删除的.他们登陆了supesite的管理后台之后,就可以上传PHP与JS文件,获取服务器的控制.
Update:Discuz已经给出公告:
2006年7月22日23时10分,官方网站首页显示
Hacked By 剑心&9xiao
漏洞友情提示
Just For Fun
7月23日凌晨我们就联系上了剑心,他叙述了此次漏洞的全过程。在此之前剑心所在的B.C.T(Bug Center Team)团队和9xiao所在的火狐技术联盟,还曾发现过不少知名论坛的漏洞。他们的主页是 、。
据剑心说,Discuz! 代码相当严谨,此次漏洞,是由于 Supesite V4 早期的官方演示程序 后台“在线编辑”功能过滤不严格。同时 Supesite V4演示程序与 Discuz! 论坛放置在同一台服务器,导致通过此漏洞修改了Discuz!官方站点目录下的缓存文件,我们已经关闭了该演示站点。
除改写首页缓存之外,没有损坏官方数据及系统。这个漏洞在 Supesite V4 正式版及近期推出的 Supesite V5 中也已经得到彻底解决。
虽然这次并不是由Discuz!代码引起的,但是我们愿意与B.C.T及其他安全组织进行合作,在彼此专长的领域,优化出更加完善安全的产品。并扭转长期以来黑客与程序开发者之间的双重负面影响。长期合作,增进沟通。
对于重大的安全漏洞,官方发布补丁之后,会在合理的时间公布这些漏洞的发现者及组织。使更多的人可以和他们讨论安全问题。Discuz! 也会增设安全部门与他们共同成长。
我们已经向剑心及9xiao发出邀请,希望他们能在年底访问Discuz!。并预祝他们顺利完成学业,把他们的技术用到更关键的地方。
同时我们对用户及各位爱好者近日的紧张表示歉意,无论是今天还是明天我们都会妥善解决产品中的各类矛盾。
阅读(806) | 评论(0) | 转发(0) |