一個漏洞引發(fā)的血案

PHPwind是一個被廣泛應(yīng)用的論壇程序。4月6日傍晚，PHPWind論壇的一個漏洞被發(fā)現(xiàn)，瞬間就在互聯(lián)網(wǎng)中爆發(fā)開來，一場血雨腥風(fēng)就這樣迅速波及整個互聯(lián)網(wǎng)。

入侵

2007年4月7日凌晨，筆者常去的“掌機(jī)天堂”論壇被黑客攻擊。黑客使用工具盜取了多位總版主賬號，獲取管理員權(quán)限進(jìn)入網(wǎng)站的系統(tǒng)后臺，強(qiáng)行關(guān)閉了“掌機(jī)天堂”網(wǎng)站，還對網(wǎng)站首頁進(jìn)行了修改。最可恨的是，黑客刪除了將近5300名普通會員的ID賬號，以及“掌機(jī)天堂”建站兩年來幾個GB的全部的論壇附件，并且強(qiáng)行跳轉(zhuǎn)網(wǎng)站到某個同類網(wǎng)站。

然而，“掌機(jī)天堂”并不是惟一的受害者，很多PHPWind論壇都被入侵，有的被掛上廣告，有的被掛上網(wǎng)頁木馬，有的數(shù)據(jù)庫被刪除。此次漏洞，讓很多過把黑客癮的人都爽了，可是剩下的卻是許多倒霉的站長。

由此可見，這個PHPWind漏洞的危險程度之高、破壞力之強(qiáng)。那么到底是什么漏洞可以達(dá)到這樣的破壞能力呢?

案情重現(xiàn)

這個漏洞是由于Require文件夾中的一個文件過濾不嚴(yán)格造成的，攻擊者可以任意修改別人的賬號密碼。利用漏洞的工具先于漏洞公布，也是造成這次PHPWind論壇大面積被入侵的主要原因。

Step1首先，要找到使用PHPWind論壇的網(wǎng)站。這個好辦，只要搜索“Powered by PHPWind 5.0”關(guān)鍵字，就能找到大量使用PHPWind論壇的網(wǎng)站。當(dāng)然你也不用進(jìn)行搜索，一些此漏洞的利用工具中就提供了大量使用PHPWind論壇的網(wǎng)站鏈接，比如“PHPWind 5.xExploitsI具”。

Step2從文件列表中任意的選擇一個網(wǎng)站鏈接，接下來運行“PHPWind5.x Exploits工具”，利用工具分為CMD界面和GUI界面兩種。我們這里選擇CMD界面，因為真正的黑客都是在命令行下進(jìn)行操作的。

打開命令提示符窗口，執(zhí)行命令：pw5expcmd.exe.url(網(wǎng)站鏈接)即可檢測出該PHPWind論壇是否存在這個漏洞。如果檢測到漏洞存在的話，就會出現(xiàn)“Ok!I Find bugs AND readv to Expljit”這樣的提示語句。

Step3在IE中訪問這個論壇，從管理員列表中查找可以利用的管理員賬號。切換到命令提示符窗口，執(zhí)行命令：pw5expcmd．exe url用戶名。如果成功，就會出現(xiàn)“The user add 0r password ischanged succeed”的提示，表示已經(jīng)創(chuàng)建了一個管理員賬號，默認(rèn)密碼改為123456。執(zhí)行命令：pw5expcmd.exe.url用戶名密碼，可以修改掉該賬號的密碼。

Step4隨后用這個管理員賬號登錄論壇，如果該賬號可以管理后臺，那么就可以點擊“系統(tǒng)設(shè)置”選項登錄到后臺，這樣黑客就可以對網(wǎng)站數(shù)據(jù)庫進(jìn)行任意的管理設(shè)置。黑客還可以可以上傳PHP木馬從而得到一個WebShelll，然后通過WebShelll進(jìn)一步提升權(quán)限便可以控制整個網(wǎng)站。

修補(bǔ)方法

首先從官方網(wǎng)站下載PHPWind5.x安全補(bǔ)丁(http://www.phpwind.com/download.php)，解壓后將補(bǔ)丁里的upload文件夾覆蓋網(wǎng)站論壇中的這個目錄即可；接著馬上使用論壇創(chuàng)始人賬號密碼進(jìn)入后臺，再立即修改創(chuàng)始人的密碼，并檢查是否有可疑的論壇管理員；如果發(fā)現(xiàn)后臺進(jìn)不去，可以使用論壇創(chuàng)始人密碼修復(fù)工具進(jìn)行一鍵修復(fù)；如果發(fā)現(xiàn)中了網(wǎng)頁木馬等惡意程序，需要進(jìn)入后臺查看廣告管理是否被人加了iframe或js代碼，并使用安全檢測工具對站點進(jìn)行安全檢查。