成都网站建设
|
域名注册
|
虚拟主机
|
网站制作
|
网站案例
|
网站优化
|
网站推广
|
企业邮局
|
服务器租用
|
广告设计
首页
服务器租用
企业邮箱
虚拟主机
网站程序
营销推广
网站建设
域名注册
前端开发
网站备案
网站策划
|
网站建设
|
网站案例
|
虚拟主机
|
网站推广
|
云服务器
|
成都网站制作公司
|
php空间
|
独立IP空间
|
jsp虚拟主机
网站程序
java教程
asp程序
asp.net程序
vb编程
php程序
C#程序
服务器租用
web服务器
FTP服务器
服务器托管
服务器租用
vps主机服务器
企业邮箱
企业邮箱优势
企业邮箱设置
邮箱收发问题
邮箱功能讲解
邮箱其他问题
虚拟主机
主机购买
数据库
主机管理
FTP上传
主机续费升级
营销推广
seo优化
网站推广
搜索引擎
免费资源
网站建设
网站方案
网站改版
网页设计
网站维护
网站策划
域名注册
域名转入\转出
英文域名
通用网址
中文域名
域名解析
前端开发
html
jQuery
JavaScript教程
css
div+css
网站备案
备案流程指南
备案资料下载
备案常见问题
各省备案要求
移动互联网
wap手机网站
app应用开发
微网站
当前位置:
创新互联
>>
常见问题
>>
网站程序
>>
php程序
>>
众中小论坛红色警报 PHP类论坛遭附件漏洞侵袭
众中小论坛红色警报 PHP类论坛遭附件漏洞侵袭
作者:创新互联 文章来源:网站程序部 点击数:
更新时间:2009-09-30
木马防不胜防,近一段时间,swf和wma等文件成为承载木马的新宠。
近期,据用户反应,在许多论坛里打开swf或者wma文件,都有被杀毒软件检测到中毒的情况,表现为文件跳转,或者出现不明文件。
按照用户提供的情况,发现出现这一问题的大都是PHP类型的论坛,而占据
PHP
论坛绝大市场份额的Discuz!程序,成为此次木马泛滥的重灾区。
Discuz!、PHPwind等
PHP
论坛程序,都提供了一些功能丰富的插件应用,比如支持SWF 、WMA 、WMV文件等。使用这些插件是为了功能的丰富,但是有些人利用这一方便开始在这些文件里添加各类弹窗,甚至是一些木马文件。
swf文件小巧方便,相关内容也丰富多样,许多PHP论坛都开通了对此类文件类型的上传权限,不想却成为了恶意插件甚至是木马病毒的寄生源。
据笔者了解,这类木马主要是利用了swf等文件的网址跳转功能。就是在网页中显示或本地直接播放Flash动画文件时,Flash文件往往会自动打开一个网址,而该网址就是被预先制作好的一个木马网页。大部分的论坛中都可以发布附带Flash文件的帖子,利用论坛发帖,攻击者可以快速获得大量的肉鸡。以Discuz!论坛为例,在发帖时,点击编辑窗口上方的“插入视频文件”按钮,设置Flash窗口大小,使用默认设置就可以输入Flash的URL地址。或者通过附件直接上传含有木马的此类文件。不同的论坛代码表示尽管不一样,但实现的效果都是相同的。
普通文件植入木马不能够有效防范,许多论坛站长拷问Discuz!等程序的安全性能。
某地方社区站长近期因为该漏洞而被用户质问,频频受到木马侵扰。该站长向笔者大吐苦水,一些版块主要就是休闲娱乐的,因此不能够把上传文件功能关闭,但是随之而来的木马问题让他很无奈。
几天前,这位站长才把Discuz!的程序升级到7.0版本,还没有好好感受新版本带来的喜悦,这下子又受到木马的骚扰。
这位站长表示,论坛有这样那样的漏洞bug很正常,自己也是一直修修补补过来的,只是这一次危害直接危害的是广大用户,他感到很无奈。让他担心的是,对于如此明显的漏洞,程序开发商并没有及时修补,在他发帖求助后也没有得到相关答复。
“Discuz也算是主流程序了,怎么这么让人不放心?”对于discuz出现如此漏洞,该站长迷惑不解。
笔者就木马防范问题咨询了专业人士。技术人员表示,如果确实是程序方面的漏洞,彻底地解决问题只有等待程序开发商发布漏洞,进行补丁的修复了。作为用户,除了尽量不要打开这些类型的文件外,最简易的方法就是开启屏蔽弹出窗口的功能。
“不过,真正厉害的木马不是外部显化的,这种简单的预防并不能做到万全之策。”技术人员也很无奈。
笔者电话采访了几家主流
PHP
类程序商,程序商纷纷表示,正在积极寻找解决方案,相信在不久的将来会得到很好的解决。据悉,这也是Discuz近30天来,发生的第二次严重漏洞,上一次为WAP。中国站长站将持续关注事态发展,给大家带来最新的报道。
用php实现qq挂机
:上一篇
PHP 生成缩略图的类
:下一篇
php程序相关文章
用php实现qq挂机
浅解伪静态在phpWind中的应...
用PHP+MySQL搭建聊天室
php编程程序语言介绍
福利彩票幸运号码自动生成器
网站建设的开发语言都有哪些
php生成随机密码的几种方法
php站点如何设置防盗链
专注网站建设、网页设计、网站制作、企业网站建设——创新互联
移动互联网
|
网站备案
|
前端开发
|
域名注册
|
网站建设
|
营销推广
|
网站程序
|
虚拟主机
|
企业邮箱
|
服务器租用
|
热门搜索
服务电话:028-86922220 13518219792 公司地址:成都市太升南路288号锦天国际A幢10楼2号
企业邮箱:
service@cdxwcx.com
版权所有:成都创新互联科技有限公司 蜀ICP备09010846号
成都网站建设