详细解说“黑掉”Dvbbs 7.1 Sp1的步骤
关键词: 详细 解说 黑掉 Dvbbs 步骤 通过 密码
1,新建或者随便找个.mdb的数据库,注意体积尽量小一点,而且是正常的数据库文件。
2,打开数据库,如果是空库请新建一个表以及一个字段,内容随便输入。然后在数据库设计视图内新建一个字段,字段名称随便,数据类型选OLE对象,这是关键,别搞错,然后保存。
3,回到数据库主界面,打开刚才被插入OLE对象的表,你会发现被你插入OLE对象的字段值显示“长二进制数据”,选中它,然后鼠标右键选插入对象,在打开的对话框中选“由文件创建”这一项,然后在浏览中选中你本机的ASP木马文件,木马文件一定要小,越小越好。
4,选中后点击确定,这样一个asp木马就被插入数据库中了。这个数据库是觉得合法的死马,它完全被DVBBS7认可,并逃过DVBBS验证机制的检查。
木马做好了,后面的步骤就简单了,就是在后台版面设置中把上传文件类型增加一个mdb格式,然后在前台上传刚才制作的.mdb木马数据库,最后就是通过老套的后台备份方式或者恢复备份方式把这个死的.mdb马变成活的.asp木马了,然后你当然就可以为所欲为想怎么折腾这论坛就怎么折腾了。
第二种方式就是跨站攻击了,这种实在没什么好说的,也就是假如空间商安全做的不好,那么只要其中一个站被黑,那么黑客就可以在该站通过木马浏览到同WEB目录中的其他站点类容,而且具有完全的操作权限,对于这样的空间商你只能自认倒霉了,无论你怎么做安全都这能成为别人菜的对象,这就是为什么很多人说我明明按照DV高手讲的把论坛安全都做好了,但还是不停的被黑呢,问题就在这里了。
所以最后总结一下,如果要想避免被黑,那么自己要有安全意识是必须的,装好论坛后一定要做以下步骤工作:
1,立即修改论坛前后台密码,而且前后台用户名密码尽量不要相同,因为如果是老版本的论坛有方法可以获得前台帐号密码的,这样不等于你后台也被攻陷了;另外一点就是密码尽量复杂一点。
2,第二步就是数据库了,一定要把默认的数据库dvbbs7.mdb进行改名,哪怕只是将dvbbs7.mdb改成dvbbs7.asp也好,这样黑客就无法下载你的数据库了,注意修改后要对应把conn.asp文件中的连接名修改一下,保持文件名一致。
3,清理掉论坛的以前的日志记录,这样即使拿到你的数据库也无法直接知道密码,只能靠暴力猜解,而暴力猜解只要是稍微复杂点的密码根本就没法猜的出来。
4,其实做好前面几步已经有一个安全的动网论坛了,这些都是最基本的,却往往又让广大动网爱好者站长所忽略,另外就是如果是老版本的论坛一定要记得升级到最新版从而避免因为以前版本的漏洞导致被黑。
5,对于跨站攻击如果你是租用的空间的话是无法防范的,只能说选择一个好的空间商了,购买空间后自己先用ASP木马测试下空间的基本安全是否合格。我也是空间商,以我自己的经验给大家建议一下最好不要去选择那些所谓的全能空间,全能基本上等于全“洞”,没点技术功底就搞全能空间那是找死,如果仅仅是支持ASP的空间安全是非常好做的,但是一全能就比较难了。
呵呵,希望大家看完这篇文章能有所启示,好好检查下自己论坛是否有所遗漏。“黑掉”二字用引号其实不能说是被黑了,因为一点技术含量都没有,只是因为大家的疏忽所造成的。
-----------------------心跳补充,对于有服务器的用户建议------------------------
补丁两句多余的话(仅对有服务器管理权的站长):
一、coboy提到了下载mdb数据,这个可以在IIS中设置一下就可以防范的,在映射文件类型中(IIS属性-->主目录-->配置-->映射),添加mdb文件类型,映射程序选中asp.dll,或者任意一个DLL文件即可,这样的MDB数据库根本就无法下载了。
二、网站所在文件夹,除了几个必须要给予写权限的文件夹(data[数据库所在目录] | uploadfile[上传文件所在目录] | uploadface[上传头像所在目录] | previewimage[使用ASPJPEG组件时需要使用到此文件夹] | Dv_fourmnews[首页调用的config文件所在目录] | Skins[编辑CSS和导出风格时需要使用])以后,其他文件夹及文件只给读取权,不给写入权,另个uploadfile、uploadface、data、backupdata这几个目录不要给执行脚本的权限,执行权限设置为“无”,就算传上木马也无法运行。
再加上这两样设置,一般毛贼根本不能黑了你。
回复
有奖活动 | |
---|---|
【有奖活动】分享技术经验,兑换京东卡 | |
话不多说,快进群! | |
请大声喊出:我要开发板! | |
【有奖活动】EEPW网站征稿正在进行时,欢迎踊跃投稿啦 | |
奖!发布技术笔记,技术评测贴换取您心仪的礼品 | |
打赏了!打赏了!打赏了! |
打赏帖 | |
---|---|
【换取逻辑分析仪】自制底板并驱动ArduinoNanoRP2040ConnectLCD扩展板被打赏47分 | |
【分享评测,赢取加热台】RISC-V GCC 内嵌汇编使用被打赏38分 | |
【换取逻辑分析仪】-基于ADI单片机MAX78000的简易MP3音乐播放器被打赏48分 | |
我想要一部加热台+树莓派PICO驱动AHT10被打赏38分 | |
【换取逻辑分析仪】-硬件SPI驱动OLED屏幕被打赏36分 | |
换逻辑分析仪+上下拉与多路选择器被打赏29分 | |
Let'sdo第3期任务合集被打赏50分 | |
换逻辑分析仪+Verilog三态门被打赏27分 | |
换逻辑分析仪+Verilog多输出门被打赏24分 | |
【分享评测,赢取加热台】使用8051单片机驱动WS2812被打赏40分 |