XOOPS 是一個高度可擴充、具物件導向、且易於使用的動態網站內容管理系統(CMS),採用 PHP 語言來設計。XOOPS 十分適合用於發展小型至大型的動態社群網站、內部 Intranet 網站、入口網站、並且可用來做為 WEB LOG 使用。
本站是 XOOPS 正體中文延伸計劃網站,以推廣 XOOPS 於正體中文環境的應用為宗旨。我們希望 XOOPS 的發展能深入而嚴謹、功能越來越強大、但安全性更佳,最重要的是能永久保持其積極而開放的特色(易取易用)。
在您開始使用本站資源前 請先詳看本站的免責聲明並且請您在發出提問前事先利用搜尋功能查詢是否已有解答;提問時也請注意盡量詳述問題狀況,如無法利用語意明確表達也請提出網址以及測試帳號。竭誠的歡迎每位有經驗可以回覆提問的網友多多協助幫忙解惑,在此感謝所有對 XOOPS 有貢獻的人。
註冊新會員登入 XOOPS 完整檔 XOOPS 升級檔

公告 tad - 網路安全新聞 | 2010-06-22 | 人氣:15130

Tad uploader 1.1 版有一個漏洞,可以讓人不經過檢查就上傳程式。有心份子會利用之上傳一些木馬程式。

因此建議您儘早更新至1.2 版已針對此問題進行處理(或者就乾脆移除別用了...)

Tad uploader 1.2 版:http://www.tad0616.net/modules/tad_up ... mp;cfsn=355&cat_sn=23

有問題的檔案可以直接利用 tad_uploader 模組的界面來刪除之,其真實路徑位於 /uploads/tad_uploader/ 底下

刪除完若是不放心,Linux 主機者可下載底下小程式(感謝OLS3大師提供)來協助掃描看有無漏網之魚(順便建議把幾個快取目錄都清一清,有些惡意程式會躲在裡頭)。

http://www.tad0616.net/modules/tad_up ... amp;cfsn=356&cat_sn=0

解壓縮到任何目錄,利用 chmod +x scan_spy.sh 來賦予該程式執行權限,然後輸入「./scan_spy.sh」來執行掃描。

該程式會從主機根目錄掃起,有問題的檔案會直接秀出到畫面上(顯示權限不足或者找不到檔案者則應該不是惡意檔案)

有列出來的檔案請將之刪除(例如 help.php、info.php、xxx.phP...之類的檔名)

掃描完,會產生 spy.log 以及f.lst兩個紀錄檔,也可以開啟來看一下,裡面列的連結可以看一下,有沒有一些奇怪的連結。

此外,您也可以下載底下這個檔,將.htaccess解壓縮到uploads中,如此,uploads中的敏感檔案都將無法執行。

http://www.tad0616.net/modules/tad_up ... amp;cfsn=357&cat_sn=0

最後,建議資料庫密碼可以改的話就改一改,以策安全。

 
網友個人意見,不代表本站立場,對於發言內容,由發表者自負責任。
網站佈景

(共 2 個樣板佈景)

誰在線上
更多…

會員: 0 | 訪客: 8

8人在線上
(1人在瀏覽本站消息)

登入X

帳號:

密碼:

記住我

忘記密碼嗎?請在下方填寫註冊時的電郵地址,以便取得新密碼。