f1207bill 10 發表於 July 25, 2006 檢舉 Share 發表於 July 25, 2006 轉載自 http://vbb3.twftp.org/showthread.php?t=9476Discuz.net被黑客攻擊 前途命運令人擔心2006年7月23日晚上23點35左右, DISCUZ.NET被黑客利用未知漏洞攻擊, 導致站點無法訪問, 中斷達20多分鐘. 雖然事後緊急修復,但是造成的影響已經無法挽回了.據推測,黑客這次是利用未知漏洞(可能是Xss跨站攻擊), 上傳了WEBSHELL修改了站點文件, 導致站點無法訪問.DISCUZ.NET最近得到了"紅杉中國基金"的風險投資, 並在四天前發佈了DISCUZ的5.0RC1版本。而"紅杉中國基金"與鼎鼎大名的原3721總裁周鴻瑋有著千絲萬縷的聯繫。Discuz在這麼敏感的時候被攻擊,不由使關心Discuz前途和命運的網友們擔心, DZ是否會在投資人的壓力下做出某些evil的改變。http://www.cnbeta.com/modules.php?na...icle&sid=13280呵呵 Discuz啊Discuz呵有意思http://www.loveshell.net/blog/blogview.asp?logID=118Discuz!論壇寫入WEBSHELL書寫錯誤,導致惡意用戶構造語句可以寫入webshell,進而控制整個服務器。http://21o.net/article.asp?id=798Phpwind與Discuz等論壇Xss漏洞受影響版本:Phpwind與Discuz等論壇最新版本發現組織:Bug.Center.Team-劍心漏洞描述:論壇程序在處理一些參數方面存在問題,通過精心構造數據可能在前台以及後台引發跨站腳本漏洞廠商補丁:官方並無任何補丁更新,請各位留意官方通告Bug.Center.Team臨時解決方案無http://www.neeao.com/blog/article.asp?id=1964 鏈接文章 分享到其他網站
WilliamTai 10 發表於 July 27, 2006 檢舉 Share 發表於 July 27, 2006 似乎不是DZ本身引起的問題...:p 2006年7月22日23時10分,官方網站首頁顯示Hacked By 劍心&9xiao漏洞友情提示Just For Fun7月23日凌晨我們就聯繫上了劍心,他敘述了此次漏洞的全過程。在此之前劍心所在的B.C.T(Bug Center Team)團隊和9xiao所在的火狐技術聯盟,還曾發現過不少知名論壇的漏洞。他們的主頁是 http://www.cnbct.org/、http://www.wrsky.com/。據劍心說,Discuz! 代碼相當嚴謹,此次漏洞,是由於 Supesite V4 早期的官方演示程序 http://demo.supesite.net/ 後台「在線編輯」功能過濾不嚴格。同時 Supesite V4演示程序與 Discuz! 論壇放置在同一台服務器,導致通過此漏洞修改了Discuz!官方站點目錄下的緩存文件,我們已經關閉了該演示站點。除改寫首頁緩存之外,沒有損壞官方數據及系統。這個漏洞在 Supesite V4 正式版及近期推出的 Supesite V5 中也已經得到徹底解決。雖然這次並不是由Discuz!代碼引起的,但是我們願意與B.C.T及其他安全組織進行合作,在彼此專長的領域,優化出更加完善安全的產品。並扭轉長期以來黑客與程序開發者之間的雙重負面影響。長期合作,增進溝通。對於重大的安全漏洞,官方發佈補丁之後,會在合理的時間公佈這些漏洞的發現者及組織。使更多的人可以和他們討論安全問題。Discuz! 也會增設安全部門與他們共同成長。我們已經向劍心及9xiao發出邀請,希望他們能在年底訪問Discuz!。並預祝他們順利完成學業,把他們的技術用到更關鍵的地方。同時我們對用戶及各位愛好者近日的緊張表示歉意,無論是今天還是明天我們都會妥善解決產品中的各類矛盾。 鏈接文章 分享到其他網站
haktekv5 10 發表於 December 27, 2006 檢舉 Share 發表於 December 27, 2006 我可以在這裡測試一下XSS嗎我只獲得權限就好XD 鏈接文章 分享到其他網站
petercpg 10 發表於 December 27, 2006 檢舉 Share 發表於 December 27, 2006 我可以在這裡測試一下XSS嗎我只獲得權限就好XD孩子這邊不是這樣玩的想被砍帳號嗎? 鏈接文章 分享到其他網站
haktekv5 10 發表於 December 28, 2006 檢舉 Share 發表於 December 28, 2006 孩子這邊不是這樣玩的想被砍帳號嗎?我沒別的意思喔(我先聲明)被砍帳號外加鎖IP真的有用嗎被砍帳號只需在申請就有了鎖IP只需透過代理不是一樣能進嗎?? 鏈接文章 分享到其他網站
petercpg 10 發表於 December 28, 2006 檢舉 Share 發表於 December 28, 2006 我沒別的意思喔(我先聲明)被砍帳號外加鎖IP真的有用嗎被砍帳號只需在申請就有了鎖IP只需透過代理不是一樣能進嗎??的確沒辦法 這只是行政處理不過如果上個論壇要這樣生這麼多分身帳號還要找代理不知道在地球上繞幾圈跳過來 不覺得很無趣嗎? 鏈接文章 分享到其他網站
ckmarkhsu 7 發表於 December 28, 2006 檢舉 Share 發表於 December 28, 2006 我沒別的意思喔(我先聲明)被砍帳號外加鎖IP真的有用嗎被砍帳號只需在申請就有了鎖IP只需透過代理不是一樣能進嗎??不是阿,我們從來就沒有要鎖 ip 阿,要所那個幹麻!?深藍重視每個帳號,我們也假設會員重視事實上一個自然人僅能註冊一個帳號,因此我們並不會假設有多重帳號這種問題因此,如果我們拒絕對他服務,他他執意要註冊的話,就可以視為侵入法律上我們是可以採取行動的:) 鏈接文章 分享到其他網站
haktekv5 10 發表於 January 2, 2007 檢舉 Share 發表於 January 2, 2007 我沒別的意思喔我只是想知道網管對於這方面要怎麼處理而已我繼續發言囉----------------------------------------------------------------------------------------------------------------------------------為什麼可以視為入侵呢妨礙電腦使用??也沒有違到這項呀 鏈接文章 分享到其他網站
暗之冰楓 10 發表於 January 20, 2007 檢舉 Share 發表於 January 20, 2007 的確沒辦法 這只是行政處理不過如果上個論壇要這樣生這麼多分身帳號還要找代理不知道在地球上繞幾圈跳過來 不覺得很無趣嗎?就是有人覺得說這樣很好玩啊...XD(多運動...)(毆) 鏈接文章 分享到其他網站
Recommended Posts
請登入後來留意見
在登入之後,您才能留意見
立即登入