今天我們一個用戶的報告發映服務器被入侵,經查是回收站目錄的權限有錯造成的. 請下載最新版的安全包(2011-1-11),點擊"設置回收站目錄權限"及"設置Media等目錄權限"功能,就可以解決以下問題:
回收站目錄的權限存在users組成寫入與運行權限造成的提權:
如:
C:/RECYCLER
D:/RECYCLER
....
等目錄,這些目錄默認是隱藏的,您要看到這些目錄需要顯示系統文件才能看到.
如果這些目錄中有你不認識的vbs,exe等文件就很可能是入侵后的后門.
注意,使用最新安全包后,可能會提示回收站被破壞,不用擔心,這個提示不影響使用,也不用處理.安全包只能限制了USERs用戶的調用回收站造成不安全.正常情況下,回收站只應該有adms,sytem全部的權限.
以下是近期的安全提示:
請下載最新版的安全包,點擊"設置Media等目錄權限"功能,就可以解決以下問題:
(其他的功能不用點,最新版的安全包可以用主控用戶名登陸星外網站,在軟件下載,老用戶升級中下載)
如果以下目錄中存在任何文件,可能是入侵造成的,在設置安全包后,里面的文件應該手工刪除(PHP目錄中默認的文件除外):
如以下目錄:
C:/Documents and Settings/All Users/Application Data/Microsoft/Media Index/
C:/php/dev,C:/php/ext,C:/PHP/extras,C:/PHP/PEAR
C:/wmpub
C:/upload
C:/inetpub
以下是問題的完整說明:
有用戶說以下目錄
C:/Documents and Settings/All Users/Application Data/Microsoft/Media Index/
有users,或everyone寫入的權限,大家查下有沒有這個問題
無論是否存在這樣的問題,請運行以下命令,可以直接處理權限,從而防止入侵:
先在開始中,輸入CMD運行后,再輸入:
ECHO Y|cacls "C:/Documents and Settings/All Users/Application Data/Microsoft/Media Index" /P SYSTEM:F
另外,以下是近期的安全問題,也請檢查
關于C:/php下的子目錄權限不正常造成服務器被入侵的處理辦法
在2010-11-23我們接到兩個用戶反映有服務器C:/php/dev,C:/php/ext,C:/PHP/extras,C:/PHP/PEAR
中發現了被上傳cmd.exe文件,經檢查,我們發現這些目錄的權限多了users用戶組寫入權限,經我們檢測,默認情況下安裝星外的PHP包并沒發生這樣的問題,有可能是安裝其他軟件影響了,
在不確定原因的情況下,我們發布了新版本的PHP安裝包(更新于2010-11-23),您可以登陸星外客服中心下載此PHP安裝包來解決這個問題.
處理辦法
1.停止IIS
2.在添加刪除中刪除原來的星外PHP安裝包
3.刪除c:/php目錄所有文件
4.安裝最新版本的PHP安裝包,這個安裝包會強行將原來錯的users權限改正.
更新PHP安裝包并不會影響用戶的網站,不用擔心.
補充
(
如何確定我的服務器也有這個問題?
您可以檢查C:/PHP/extras的權限,權限里面有一個高級,如果里面有users組的特殊權限,里面有寫入權限就是不正確的.
另外,我們發現部分服務器的C:/wmpub目錄的權限也存在同樣的問題.
