入侵者根据ewebeditor目前存在的漏洞。进行上传ASP木马。如何得到webshell这里我就不多讲了。

以下为解决方案:

一.首先我们进入目录-/manage/Editor 进行修改删除等不必要的文件.以做安全.

1.删除文件名如下.

Admin_Login.asp.
Admin_Default.asp
Admin_Decode.asp
Admin_ModiPwd.asp
Admin_Private.asp
Admin_Style.asp
Admin目录文件

2.修改文件
Upload.asp

找到语句.

’ 任何情况下都不允许上传asp脚本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
改成.

’ 任何情况下都不允许上传asp脚本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "asa","jsp","cer","php","aspx","htr","cdx")

3.修改数据库文件.

1 . /db/ewebeditor.mdb

修改.

首先打开ewebeditor.mdb数据库文件.进行数据修改.

eWebEditor_System 表名 sys_UserPass MD5加密密码.以16位加密更改.

2.eWebEditor_Style 表名.

当次站已被入侵后.痕迹处理.以此站为例.修改如下.

id 45 . s_gray 表.S_ImageExt项.删除不安全的后缀.asp|asa
______________________________________________________
前提是此站以被入侵后.如果没有无须此更改.

3.修改数据库连接.

1.db/ewebeditor.mdb

更改为.asp等格式以防下载.
列:shaoey##.asp

2.数据库连接文件.

Include/Startup.asp

找到语句

’ Access数据库
oConn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath("db/ewebeditor.mdb").

更改为.

’ Access数据库
oConn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath("db/shaoey##.asp").

4.删除入侵后.后门木马文件.

200928192929118.asa
Filemap.asp
_________________________________________
可利用200928192929118.asa查找别的目录是否也存在后门文件.
我们先WEB访问.200928192929118.asa 文件进入密码为. mima （文件代码里可以看到此密码）

找到.查找木马.

路径写 \ .(当前网站所有目录的意思)

查找到为不安全代码.先用记事本打开.是否是后门木马.以200928192929118.asa文件代码为例.

5.ewebeditor.安全修改基本就这样.

下面我们更改下.网站管理系统安全.

1.修改管理员密码.
2.修改数据库路径.

当前数据库目录 /xsdata/myxsdata.mdb

列:改成#shaoey#.asp

以防下载.

数据连接文件.Conn.asp