今天下午帮一个老师弄完课件后,上石中网站,发现首页打不开,用FTP登录,发现首页文件没有了,奇怪。刚开始我还以为是自己误删了,于是上传了个首页上去,结果发现连不上数据库,经仔细检查,才发现原来是Web.Config也没了,我这才回过神来,肯定是遭人给黑了。于是检查系统日志,发现219.129.10.178这个IP的访问记录很可疑,该IP位于湛江,它连续请求同一个Asp文件,这个文件位于邓老师上课用的BBS目录内,这是动网的BBS,于是检查它的文件上传目录,发现2005-2文件夹下只有一个GIF文件,大小为5.74K,有点可疑,因为以前就知道动网的上传漏洞,可以用来传木马,于是用记事本将这个Gif文件打开,果然,里面是Asp的木马程序,赶紧断开网络,全面检查。把219.129.10.178这个IP多次访问的同一个Asp文件也找了出来,备份,删除。同时也把动网的Upfile.Asp删除,我给学校安装的动网就是把这个文件删除,同时禁止上传头像,文件等,但当初想到邓老师可能会用上传的功能,就没有告诉她处理,结果成了祸害。最后把数据库也备份了,免得万一他还有其他木马,放置代码在其他Asp页面里就糟糕了。Tnnd,我是第2次遇到了。第一次是我毕业的时候,系里的服务器也遭人黑,就是利用的动网上传漏洞,起先我还不知道啥原因,后来查出对方在论坛里注册过,留有Email,于是联系了他,才告知,所以给石中安装BBS的时候特别小心,没想到一时疏忽差点量成大祸,这些家伙也太TMD缺德了,掌握了点下三流的东西就到处危害。这家伙还是2月22号就上传这个木马,今天才使用。使用的是“情天远程文件管理(新年加强版)”,我也使用过Asp木马,在大学里的那个服务器上装的海洋顶端,不过我只不过是用来管理网站的,要是动网能装换成CnForms就好了。