一 : 新年首个IE漏洞曝光 大规模挂马攻击或出现

1月18日消息，全球多家安全厂商近日同时发布安全预警，公布了微软最新IE Dom 0day漏洞（极光零日漏洞）的相关信息。随着该漏洞信息的不断被披露，目前网上已经出现基于该漏洞的完整的恶意攻击代码。

由于微软尚未发布此漏洞的安全补丁，一些企业和用户担心受到此漏洞的攻击。金山安全专家认为由于该漏洞触发概率很高，很可能在近期就会被大规模利用，并提醒广大网友注意防范。

安全专家认为微软IE Dom 0day漏洞影响巨大，该漏洞已经被黑客利用，可被黑客用于大范围传播木马病毒，如果用户访问了包含该漏洞的网站，将面临严重安全威胁。

据金山安全专家李铁军介绍，该漏洞对操作系统和浏览器的影响范围较大，跨越了Windows 2000/Windows XP SP2/SP3，Windows Vista， Windows 7等大部分windows系统，同时影响目前主流的IE6/IE7/IE8浏览器，此外一些第三方IE浏览器也很有可能受到影响。

据悉，1月13日，IE Dom 0day漏洞（极光零日漏洞 ）溢出代码出现。次日，微软总部发布安全公告提醒广大用户注意IE Dom 0day漏洞（极光零日漏洞），并于1月14日晚发布公告称，黑客在最近的针对Google、Adobe以及其他公司的攻击中利用了IE零日漏洞（编号979352）。1月15日，国际安全厂商披露漏洞攻击代码已经在网上公布。（文/乐天）

二 : 绝不做“肉鸡”防漏洞攻击大绝招

近来黑客攻击事件频频发生，我们身边的朋友也不断有QQ、E-mail和游戏账号被盗事件发生。现在的黑客技术有朝着大众化方向发展的趋势，能够掌握攻击他人系统技术的人越来越多了，只要你的电脑稍微有点系统Bug或者安装了有问题的应用程序，就有可能成为他人的肉鸡。如何给一台上网的机器查漏洞并做出相应的处理呢?
一、要命的端口
计算机要与外界进行通信，必须通过一些端口。别人要想入侵和控制我们的电脑，也要从某些端口连接进来。某日笔者查看了一位朋友的系统，吃惊地发现开放了139、445、3389、4899等重要端口，要知道这些端口都可以为黑客入侵提供便利，尤其是4899，可能是入侵者安装的后门工具Radmin打开的，他可以通过这个端口取得系统的完全控制权。
在Windows 98下，通过“开始”选取“运行”，然后输入“command”(Windows 2000/XP/2003下在“运行”中输入“cmd”)，进入命令提示窗口，然后输入netstat/an，就可以看到本机端口开放和网络连接情况。
那怎么关闭这些端口呢?因为计算机的每个端口都对应着某个服务或者应用程序，因此只要我们停止该服务或者卸载该程序，这些端口就自动关闭了。例如可以在“我的电脑 →控制面板→计算机管理→服务”中停止Radmin服务，就可以关闭4899端口了。
如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用，我们也可以利用防火墙来屏蔽端口。以天网个人防火墙关闭4899端口为例。打开天网“自定义IP规则”界面，点击“增加规则”添加一条新的规则，在“数据包方向”中选择“接受”，在“对方IP地址”中选择“任何地址”，在TCP选项卡的本地端口中填写从4899到0，对方端口填写从0到0，在“当满足上面条件时”中选择“拦截”，这样就可以关闭4899端口了。其他的端口关闭方法可以此类推。
二、敌人的“进程”
在Windows 2000下，可以通过同时按下“Ctrl+Alt+Del”键调出任务管理器来查看和关闭进程;但在Windows 98下按“Ctrl+Alt+del”键只能看到部分应用程序，有些服务级的进程却被隐藏因而无法看到了，不过通过系统自带的工具msinfo32还是可以看到的。在“开始→运行”里输入msinfo32，打开“Microsoft 系统信息”界面，在“软件环境”的“正在运行任务”下可以看到本机的进程。但是在Windows 98下要想终止进程，还是得通过第三方的工具。很多系统优化软件都带有查看和关闭进程的工具，如春光系统修改器等。
但目前很多木马进程都会伪装系统进程，新手朋友很难分辨其真伪，所以这里推荐一款强大的杀木马工具──“木马克星”，它可以查杀8000多种国际木马，1000多种密码偷窃木马，功能十分强大，实在是安全上网的必备工具!
三、小心，远程管理软件有大麻烦
现在很多人都喜欢在自己的机器上安装远程管理软件，如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面，这确实方便了远程管理维护和办公，但同时远程管理软件也给我们带来了很多安全隐患。例如Pcanywhere 10.0版本及更早的版本存在着口令文件*.CIF容易被解密(解码而非爆破)的问题，一旦入侵者通过某种途径得到了*.CIF文件，他就可以用一款叫做Pcanywherepwd的工具破解出管理员账号和密码。
而Radmin则主要是空口令问题，因为Radmin默认为空口令，所以大多数人安装了Radmin之后，都忽略了口令安全设置，因此，任何一个攻击者都可以用Radmin客户端连接上安装了Radmin的机器，并做一切他想做的事情。
Windows系统自带的远程桌面也会给黑客入侵提供方便的大门，当然是在他通过一定的手段拿到了一个可以访问的账号之后。
可以说几乎每种远程管理软件都有它的问题，如本报43期G12版介绍的强大的远程管理软件DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在着缓冲区溢出漏洞，黑客可以利用这个漏洞在系统上执行任意指令。所以，要安全地远程使用它就要进行IP限制。这里以Windows 2000远程桌面为例，谈谈6129端口(DameWare Mini Remote Control使用的端口)的IP限制:打开天网“自定义IP规则”界面，点击“增加规则”添加一条新的规则。在“数据包方向”中选择“接受”，在“对方IP地址”中选择“指定地址”，然后填写你的IP地址，在TCP选项卡的本地端口中填写从6129到0，对方端口填写从0到0，在“当满足上面条件时”中选择“通行”，这样一来除了你指定的那个IP(这里假定为192.168.1.70)之外，别人都连接不到你的电脑上了。
安装最新版的远程控制软件也有利于提高安全性，比如最新版的Pcanywhere的密码文件采用了较强的加密方案。
四、“专业人士”帮你免费检测
很多安全站点都提供了在线检测，可以帮助我们发现系统的问题，如天网安全在线推出的在线安全检测系统──天网医生，它能够检测你的计算机存在的一些安全隐患，并且根据检测结果判断你系统的级别，引导你进一步解决你系统中可能存在的安全隐患。
天网医生(http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17)可以提供木马检测、系统安全性检测、端口扫描检测、信息泄漏检测等四个安全检测项目，可能得出四种结果:极度危险、中等危险、相当安全和超时或有防火墙。其他知名的在线安全检测站点还有千禧在线(http://www.china-yk.com/tsfw/)以及蓝盾在线检测(hhtp://www.bluedon.com/onlinescan/portscan.asp)。另外,IE的安全性也是非常重要的,一不小心就有可能中了恶意代码、网页木马的招儿，http://bcheck.scanit.be/bcheck/就是一个专门检测IE是否存在安全漏洞的站点，大家可以根据提示操作。

五、自己扫描自己
天网医生主要针对网络新手，而且是远程检测，速度比不上本地，所以如果你有一定的基础，最好使用安全检测工具(漏洞扫描工具)手工检测系统漏洞。我们知道，黑客在入侵他人系统之前，常常用自动化工具对目标机器进行扫描，我们也可以借鉴这个思路，在另一台电脑上用漏洞扫描器对自己的机子进行检测。功能强大且容易上手的国产扫描器首推X-Scan，当然小蓉流光也很不错。
以X-Scan为例，它有开放端口、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多个扫描选项，更为重要的是列出系统漏洞之外，它还给出了十分详尽的解决方案，我们只需要“按方抓药”即可。
例如，用X-Scan对隔壁某台计算机进行完全扫描之后，发现如下漏洞:
[192.168.1.70]: 端口135开放: Location Service
[192.168.1.70]: 端口139开放: NET BIOS Session Service
[192.168.1.70]: 端口445开放: Mi crosoft-DS
[192.168.1.70]: 发现 NT-Server弱口令: user/[空口令]
[192.168.1.70]: 发现 “NetBios信息”
从其中我们可以发现，Windows 2000弱口令的问题，这是个很严重的漏洞。NetBios信息暴露也给黑客的进一步进攻提供了方便，解决办法是给User账号设置一个复杂的密码，并在天网防火墙中关闭135～139端口。
六、别小瞧Windows Update
微软通常会在病毒和攻击工具泛滥之前开发出相应的补丁工具，只要点击“开始”菜单中的Windows Update，就到了微软的Windows Update网站，在这里下载最新的补丁程序。所以每周访问Windows Update网站及时更新系统一次，基本上就能把黑客和病毒拒之门外。

三 : 漏洞攻击：CGI漏洞攻击合集下

漏洞攻击:CGI漏洞攻击合集下

疯狂代码 http://CrazyCoder.cn/ ?:

42. exprcalc.cfm ● 类型: 攻击型 ● 风险等级: 低 ● 描述: 如果在Web目录中含有:

/cfdocs/expeval/exprcalc.cfm /cfdocs/expeval/sendmail.cfm /cfdocs/expeval/eval.cfm

/cfdocs/expeval/openfile.cfm /cfdocs/expeval/displayopenedfile.cfm

/cfdocs/exampleapp/email/getfile.cfm /cfdocs/exampleapp/publish/admin/addcontent.cfm

这些文件那么入侵者可能能够利用它们读到系统上所有文件 ● 解决思路方法: 将Web目录中exprcalc.cfm删除或移走 43. displayopenedfile.cfm ● 类型: 攻击型 ● 风险等级: 低 ● 描述: 如果在Web目录中含有: /cfdocs/expeval/exprcalc.cfm /cfdocs/expeval/sendmail.cfm /cfdocs/expeval/eval.cfm

/cfdocs/expeval/openfile.cfm /cfdocs/expeval/displayopenedfile.cfm

/cfdocs/exampleapp/email/getfile.cfm /cfdocs/exampleapp/publish/admin/addcontent.cfm

这些文件那么入侵者可能能够利用它们读到系统上所有文件 ● 解决思路方法: 将Web目录中

displayopenedfile.cfm删除或移走 44. sendmail.cfm ● 类型: 攻击型 ● 风险等级: 中 ● 描述: 将Web目录中openfile.cfm删除或移走在多个WebServer中带有Whois.cgi存在溢出漏洞它们包括: Whois InternicLookup - version: 1.02 CC Whois - Version: 1.0 Matt"s Whois - Version: 1

它们将使入侵者能够在系统上使用启动httpd用户权限执行任意代码如果在Web目录中含有:

/cfdocs/expeval/exprcalc.cfm /cfdocs/expeval/sendmail.cfm /cfdocs/expeval/eval.cfm

/cfdocs/expeval/openfile.cfm /cfdocs/expeval/displayopenedfile.cfm

/cfdocs/exampleapp/email/getfile.cfm /cfdocs/exampleapp/publish/admin/addcontent.cfm

这些文件那么入侵者可能能够利用它们读到系统上所有文件 ● 解决思路方法: 将Web目录中sendmail.cfm删除或移走 45. codebrws.asp ● 类型: 攻击型 ● 风险等级: 中 ● 描述: 如果使用Windows NT+IIS作为Web服务情况下入侵者能够利用这个ASP查看系统上所有启动http用户有权限阅读文件 请前往以下地址查询补丁: Internet Information Server: ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/ SiteServer: ftp://ftp.microsoft.com/bussys/sitesrv/sitesrv-public/fixes/usa/siteserver 3/hotfixes-

postsp2/Viewcode-fix/ http://www.61k.comsecurity/products/iis/checklist.asp

● 解决思路方法: 将Web目录中codebrws.asp删除或移走 46. codebrws.asp_1 ● 类型: 信息型 ● 风险等级:中 ● 描述: 在/iissamples/exair/howitworks/下面存在codebrws.asp文件用下面路径:

http://www.61k.comiissamples/exair/howitworks/codebrws.asp? source=/index.asp

就可以查看到index.asp源码实际上任何ascii文件都可以浏览 ● 解决思路方法: 将Web目录中

codebrws.asp删除或移走 请前往以下地址查询补丁: Internet Information Server:

ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/ Site Server:

ftp://ftp.microsoft.com/bussys/sitesrv/sitesrv-public/fixes/usa/siteserver 3/hotfixes-

postsp2/Viewcode-fix/ http://www.61k.comsecurity/products/iis/checklist.asp

47. showcode.asp_1 ● 类型: 攻击型 ● 风险等级: 中 ● 描述: 在/msads/Samples/SELECTOR/目录下存在showcode.asp文件用下面 路径: http://www.61k.commsadc/Samples/SELECTOR/showcode.asp?source=/msadc/Samples/../../../../../boot.ini

可以查到boot.ini文件内容实际上入侵者能够利用这个ASP查看系统上所有启动http用户有权限阅读文件 ● 建议: 禁止对/msads目录匿名访问 ● 解决思路方法: 将Web目录中showcode.asp删除或移走 请前往以下地址查询补丁: Internet Information Server: ftp://ftp.microsoft.com/bussys/iis/iis-

public/fixes/usa/Viewcode-fix/ Site Server: ftp://ftp.microsoft.com/bussys/sitesrv/sitesrv-

public/fixes/usa/siteserver 3/hotfixes-postsp2/Viewcode-fix/

http://www.61k.comsecurity/products/iis/checklist.asp

48. /msadc目录可以访问 ● 类型: 攻击型 ● 风险等级: 中 ● 描述: Windows NT IIS server下 /msadc目录可以访问会造成系列安全问题包括被入侵者非法应用 ● 建议: 建议删除不必要由IIS默认安装形成目录 ● 解决思路方法: 禁止/msadc目录如果必须打开该目录至少应该设置成合法用户需要密码才能访问 49. search97.vts ●类型: 攻击型 ● 风险等级: 中 ● 描述: 这个文件能使入侵者任意地读取系统中启动httpd用户能读取文件 ● 解决思路方法: 将Web目录中search97.vts删除或移走或前往以下地址下载补丁:

https://customers.verity.com/products/server/310/patches/

50. carbo.dll ● 类型: 攻击型 ● 风险等级: 低 ● 描述: 如果安装了s running iCat Suite version 3.0那么它将自动在系统上添加个叫carbo.dll文件而入侵者将能利用这个文件访问系统上热和文件 ● 解决思路方法: 将Web目录中openfile.cfm删除或移走 51. whois_raw.cgi ● 类型: 攻击型 ● 风险等级: 低 ● 描述:

whois_raw.cgi作者失误这个CGI将使入侵者能够以系统上启动httpd用户权限执行系统上任意 ● 解决思路方法: 将Web目录中whois_raw.cgi删除或移走 52. doc ● 类型: 攻击型 ● 风险等级: 低 ● 描述: Web目录可以文件列表这将帮助入侵者分析系统信息 ● 解决思路方法: 将所有Web目录设置为不能文件列表 53.

.html/............./config.sys ● 类型: 攻击型 ● 风险等级: 低 ● 描述: 如果使用是较久版本ICQ那么入侵者能够利用它阅读机器上所有文件 ● 建议: 下载新版本ICQ ● 解决思路方法: 下载新版本ICQ 54. ....../ ● 类型: 攻击型● 风险等级: 中 ● 描述: 使用WebServer软件Software能使入侵者阅读系统上所有文件 ● 解决思路方法: 更换或升级WebServer软件Software 55. no-such-file.pl ● 类型: 攻击型 ● 风险等级: 低 ● 描述: 由于

WebServer软件Software缺陷使得入侵者能够利用不存在CGI脚本请求来分析您站点目录结构 ● 解决思路方法: 升级WebServer软件Software 56. _vti_bin/shtml.dll ● 类型: 攻击型 ● 风险等级: 低 ● 描述: 入侵者利用这个文件将能使系统CPU占用率达到100% ● 解决思路方法: 将_vti_bin/shtml.dll从Web目录删除或移走 57.

nph-publish ● 类型: 信息型 ● 风险等级: 中 ● 描述: 在/cgi-bin目录下存在nph-publish文件这使入侵者能通过www浏览服务器上任何文件 ● 建议: 建议审查/cgi-bin目录删除不必要cgi ● 解决思路方法: 删除nph-publish文件 58. showcode.asp ● 类型: 信息型 ● 风险等级: 中 ● 描述:在

/msadc/Samples/SELECTOR/showcode.asp?source=/msadc/Samples/SELECTOR /目录下存在

showcode.asp文件可以被入侵者利用来查看服务器上文件内容 ● 建议: 最好禁止/msadc这个web目录匿名访问建议删除这个Web目录 ● 解决思路方法: 删除showcode.asp文件 59. _vti_inf.html ● 类型: 信息型 ● 风险等级: 中 ● 描述: Web根目录下存在_vti_inf.html文件该文件是Frontpage extention server特征,包含了系列Frontpage Extention Server重要信息；而且Frontpage Extention server是个有很多漏洞Web服务用它入侵者可能直接修改首页文件 ● 建议: 用ftp等其他方式上载网页文件 ● 解决思路方法: 卸载Frontpage ExtentionServer 60. index.asp::$DATA ● 类型: 信息型 ● 风险等级: 中 ● 描述: ASP源代码可以被后缀+::$DATA思路方法查看到这样入侵者可以设法查到服务器数据库密码等重要信息: ● 建议: 建议留意微软最新有关

codeview补丁和安全公告 ● 解决思路方法: 安装services pack6或者打补丁:

ftp://ftp.microsoft.com/bussys/iis/iis- public/fixes/chs/security/fesrc-fix/

61. .asp%81 ● 类型: 攻击型 ● 风险等级: 低 ● 描述: ASP源代码可以被后缀+%81思路方法查看到这样入侵者可以设法查到服务器数据库密码等重要信息 ● 建议: 建议留意微软最新有关codeview补丁和安全公告 ● 解决思路方法: 安装services pack6或者打补丁: ftp://ftp.microsoft.com/bussys/iis/iis-

public/fixes/chs/security/fesrc-fix/

62. showcode.asp_2 ● 类型: 信息型 ● 风险等级: 中 ● 描述:在/msadc/Samples/SELECTOR/目录下存在showcode.asp文件用下面路径: http://www.61k.commsadc/Samples/SELECTOR/showcode.asp?source=/msadc/Samples /../../../../../boot.ini

可以查到boot.ini文件内容实际上入侵者能够利用这个ASP查看系统上所有启动http用户有权限阅读文件: ● 建议: 禁止对/msadc目录匿名访问 ● 解决思路方法: 将Web目录中showcode.asp删除或移走 请前往以下地址查询补丁: Internet Information Server: ftp://ftp.microsoft.com/bussys/iis/iis-

public/fixes/usa/Viewcode-fix/Site Server: ftp://ftp.microsoft.com/bussys/sitesrv/sitesrv-

public/fixes/usa/siteserver3/hotfixes- postsp2/Viewcode-fix/

http://www.61k.comsecurity/products/iis/checklist.asp

63. ism.dll ● 类型: 攻击型 ● 风险等级: 高 ● 描述:在/scripts/iisadmin/目录下存在ism.dll文件,这个文件有个溢出允许入侵者在服务器上执行任意段；另外攻击者还随时可以令服务器WWW服务死掉 ● 建议:禁止对/scripts目录匿名访问 ● 解决思路方法: 删除/scripts/iisadmin/ism.dll或者打开IIS管理控制台选取默认Web站点单击右键选取【属性】单击“主目录”在起始单击那行单击“配置”按钮将“.htr”应用映射项删除 64.

codebrws.asp_2 ● 类型: 信息型 ● 风险等级: 中 ● 描述: 在/iissamples/sdk/asp/docs/下面存在

codebrws.asp文件用下面路径: http://www.61k.comiissamples/exair/howitworks/codebrws.asp?source=/index.asp

就可以查看到index.asp源码实际上任何ascii文件都可以浏览 ● 建议: 删除名叫/iissamples/Web目录 ● 解决思路方法: 将在Web目录中codebrws.asp删除或移走 请前往以下地址查询补丁: Internet InformationServer: ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/Site Server:

ftp://ftp.microsoft.com/bussys/sitesrv/sitesrv-public/fixes/usa/siteserver3/hotfixes-

postsp2/Viewcode-fix/ http://www.61k.comsecurity/products/iis/checklist.asp

65. uploadn.asp ● 类型: 攻击型 ● 风险等级: 高 ● 描述: 在/scripts/tools目录下存在uploadn.asp只要入侵者有个可用账号哪怕是Guest账号就可以上传任何文件到Web目录除了替换主页外更可以进步控制你整个系统● 建议: 删除名为/scriptsweb目录 ● 解决思路方法: 删除uploadn.asp文件 66. uploadx.asp ● 类型: 攻击型● 风险等级: 高 ● 描述: 在/scripts/tools目录下存在uploadx.asp只要入侵者有个可用账号哪怕是Guest号就可以上传任何文件到Web目录除了替换主页外还可以进步控制整个系统 ● 建议: 删除名为/scriptsweb目录 ● 解决思路方法: 删除uploadx.asp文件 67. query.asp ● 类型: 攻击型 ● 风险等级: 低 ● 描述: 在

/IISSAMPLES/ExAir/Search/目录下存在query.asp文件这个文件有个漏洞如果被攻击者利用后果将导致CPU使用率达到100%机器速度将明显变慢 ● 建议: 禁止对/iissamples目录存取 ● 解决思路方法: 删除query.asp文件 68. advsearch.asp ● 类型: 攻击型 ● 风险等级: 低 ● 描述: 在/IISSAMPLES/ExAir/Search/目录下存在query.asp文件,这个文件有个漏洞如果被攻击者利用后果将导致CPU使用率达到100%机器速度将明显变慢 ●建议: 禁止对/iissamples目录存取 ● 解决思路方法: 删除advsearch.asp文件 69. search.asp ● 类型: 攻击型● 风险等级: 低 ● 描述: 在/IISSAMPLES/ExAir/Search/目录下存在search.asp文件这个文件有个漏洞如果被攻击者利用后果将导致CPU使用率达到100%机器速度将明显变慢 ● 建议: 禁止对/iissamples目录存取 ● 解决思路方法: 删除search.asp文件 70. getdrvrs.exe ● 类型: 攻击型 ● 风险等级: 中 ● 描述: 这个存在于

/scripts/tools目录下getdrvrs.exe文件允许任何个用户在web根目录下创建任何文件,和创建ODBC数据源 ●建议: 禁止对/scripts/tools目录匿名访问 ● 解决思路方法: 删除getdrvrs.exe文件 71. dsn.exe ● 类型: 攻击型 ● 风险等级: 中 ● 描述: 这个存在于/scripts/tools目录下dsn.exe文件允许任何个用户在Web根目录下创建任何文件如: http://xxx.xxx.xxx.xxx/scripts/tools/dsn.exe?driver=Microsoft%

2BAccess%2BDriver%2B%28*.mdb%29&dsn=Evil2+samples+from+microsoft&dbq=..%2F..%2Fwwwroot% 2Fevil2.htm&db=CREATE_DB&attr=

● 建议: 禁止对/scripts/tools目录匿名访问 ● 解决思路方法: 删除dsn.exe文件 72. showcode.asp_3 ● 类型: 信息型 ● 风险等级: 中 ● 描述: 在/iissamples/exair/howitworks/存在code.asp文件入侵者利用该文件可以查看服务器硬盘上任何个ASCII文件内容并显示asp文件源代码 ● 建议: 禁止对/iissamplesweb目录匿名访问● 解决思路方法: 删除showcode.asp文件 73. aexp.htr ● 类型: 攻击型 ● 风险等级: 中 ● 描述: 在

/iisadmpwd目录下存在aexp.htr文件类似还有aexp2.htr、aexp3.htr和aexp4b.htr等这些文件允许攻击者用穷举法等方式破解和修改NT用户密码 ● 建议: 建议禁止对/iisadmpwd目录访问 ● 解决思路方法: 删除

aexp.htr文件 74. aexp2.htr ● 类型: 攻击型 ● 风险等级: 中 ● 描述: 在/iisadmpwd目录下存在aexp2.htr文件类似还有aexp2.htr、aexp3.htr和aexp4b.htr等这些文件允许攻击者用穷举法等方式破解和修改WindowsNT用户密码 ● 建议: 建议禁止对/iisadmpwd目录访问 ● 解决思路方法: 删除aexp2.htr文件 75. aexp3.htr ●类型: 攻击型 ● 风险等级: 中 ● 描述: 在/iisadmpwd目录下存在aexp3.htr文件类似还有aexp2.htr、

aexp3.htr和aexp4b.htr等这些文件允许攻击者用穷举法等方式破解和修改Windows NT用户密码 ● 建议: 建议禁止对/iisadmpwd目录访问 ● 解决思路方法: 删除aexp3.htr文件 76. aexp4b.htr ● 类型: 攻击型 ● 风险等级: 中 ● 描述: 在/iisadmpwd目录下存在aexp4b.htr文件类似还有aexp2.htr、aexp3.htr和aexp4b.htr等这些文件允许攻击者用穷举法等方式破解和修改Windows NT用户密码 ● 建议: 建议禁止对/iisadmpwd目录访问 ● 解决思路方法: 删除aexp4b.htr文件 77. achg.htr ● 类型: 攻击型 ● 风险等级: 中 ● 描述: 在

/iisadmpwd目录下存在aechg.htr文件类似还有aexp2.htr、aexp3.htr和aexp4b.htr等这些文件允许攻击者用穷举法等方式破解和修改Windows NT用户密码 ● 建议: 建议禁止对/iisadmpwd目录访问 ● 解决思路方法:删除achg.htr文件 78. ExprCale.cfm ● 类型: 攻击型 ● 风险等级: 中 ● 描述: 在ColdfusionWeb目录

:/cfdocs/expeval/ExprCalc.cfm文件这个文件有个漏洞允许用户读取服务器硬盘上任意文件包括用户密码数据库sam文件 ● 建议: 删除相关文件 ● 解决思路方法: 删除ExprCalc.cfm文件 79. getfile.cfm ● 类型: 攻击型● 风险等级: 中 ● 描述: 在Coldfusionweb目录:/getfile.cfm文件这个文件有个漏洞允许用户读取服务器硬盘上任意文件包括用户密码数据库sam文件 ● 解决思路方法: 删除getfile.cfm文件 80. x.htw ● 类型: 信息型 ● 风险等级: 中 ● 描述: IIS4.0上有个应用映射htw--->webhits.dll这是用于Index Server单击功能尽管不运行IndexServer该映射仍然有效这个应用映射存在漏洞允许入侵者读取本地硬盘上文件数据库文件和ASP源代码 ● 建议:建议在IIS控制台中删除无用应用映射 81. qfullhit.htw ● 类型: 信息型 ● 风险等级: 中 ● 描述: IIS4.0上有个应用映射htw--->webhits.dll这是用于Index Server单击功能尽管不运行Index Server该映射仍然有效这个应用映射存在漏洞允许入侵者读取本地硬盘上文件数据库文件和ASP源代码 ● 建议: 建议在IIS控制台中删除无用应用映射 82. iirturnh.htw ● 类型: 信息型 ● 风险等级: 中 ● 描述: IIS4.0上有个应用映射htw---

>webhits.dll这是用于Index Server单击功能尽管不运行Index Server该映射仍然有效这个应用映射存在漏洞允许入侵者读取本地硬盘上文件数据库文件和ASP源代码 ● 建议: 建议在IIS控制台中删除无用应用映射

上篇文章: CGI漏洞攻击合集上

下篇文章: 黑客常用 9种攻击思路方法

本文标题：unicode漏洞攻击-新年首个IE漏洞曝光 大规模挂马攻击或出现
本文地址： http://www.61k.com/1061928.html