早上看到CB上报道了dz论坛爆出安全漏洞,当时并没太在意,因为我们safechina的论坛是基于dz2.2f在4nge修改的基础上再次优化的跟现有的dz版本架构是根本不同的,想应该不会有啥问题!晚上看到dz官方关于这次风波的说明,在转引这篇新闻http://www.cnbeta.com/articles/74294.htm到safechina,org后的,提交完新闻看到了"Hacked by ring04h, just for fun!"当时脑海中就蒙了,第一个反应是:不会吧,难道论坛中跟有跟dz官方的链接有问题,在用管理员发帖时对系统写入了恶意代码?应该不会啊,dz官方已经修复了域名劫持问题,检查了所有dz相关的页面代码,都是正常的...出鬼了?删除掉那篇新闻后,发了几个测试帖,一切正常!难道?仔细看了下cb的那篇相关新闻,问题出在
- <script>function init() { document.write('Hacked by ring04h, just for fun!');}window.onload = init;</script>
这段代码上!我记得论坛是不允许执行html代码的,检查后台,发现新闻动态版(另一管理员)在创建的时候无意中设置成了允许html代码,还好只有管理员帐号可以添加新闻!立即关闭html代码功能,一切ok解决!
ps后话:年初的时候朋友的网站萤火虫论坛也是被黑,我在检查的时候发现服务器都是正常的;后来才发现是域名劫持的问题;黑客劫持了域名系统解析到一个已经被黑的网站上!域名劫持攻击效率还是非常高和造成影响非常大的...在这里也提醒各位站长自己的域名管理密码一定要复杂以及不跟常用密码相同!引用范围的话就是"防不胜防啊..."
滤纸
2009, January 12, 4:04 PM
