1.昨天到上海,才开始上班,也没看blog,今天登陆的时候,发现多了一个管理员账户,一查看日志,原来利用的是Sablog-X v2.x 任意变量覆盖漏洞,详见:http://www.80vul.com/sablog/sablog-x.txt,昨天看到了这个oday了,没在意,没想到下午就被黑了,杯具了。
2.还好,没有替换首页页,只是留了一个文件和shell在上面,在此谢过这位朋友了,多谢手下留情。
3.目前貌视sablog官方还没发布补丁,对代码做了简单的处理,应该是没问题了,以下为修改方法,只有在两个变量都为真的情况下,才初始化变量。
- if($sax_hash&&$sax_uid)
- {
- @extract($_EVO);
- }
不知道这样还能被利用不,欢迎拍砖。
