PW论坛程序爆高危漏洞 大量网站遭遇“黑色周末”

　　编者按：PHPWind Forums（以下简称PW）是国内比较著名的PHP论坛程序，也是使用最为广泛的论坛程序之一。上周，PW论坛程序的一个漏洞被广泛传播，所有使用该程序的论坛能在几分钟内被黑！一时间“黑客”猖獗，个人站长损失惨重！

　　“黑客”：
　　这个周末有点High

　　2007年4月6日18：09，ＰＷ官方论坛出现一个标题为《PW5.X所有版本通杀的最新漏洞……》的提醒帖子，与此同时，“黑色周末”降临了。陆续有人四处发布关于漏洞的信息，并且迅速在各大黑客论坛转载甚至提供攻击工具的下载。比较有讽刺意义的是——许多人看到这个消息的第一反应是：黑一个来试试！

　　众多使用PW程序的论坛迅速成为攻击目标——攻击方法不可想象的简单，所能获取的权限前所未有的大，而这些论坛却毫无还手之力。这甚至谈不上任何黑客技术，更像一场恶意的游戏——游戏操控者的心态和目的决定了结果。于是，有的论坛被关闭了，有的被挂上木马了，有的被勒索了；有的网站数据被全盘删除，幸运一点的则只是收到了安全警告……

　　那一夜，一些黑客论坛沸腾了，都在讨论和关注着这件事，有人黑了别人的网站发帖炫耀，有人蠢蠢欲动，也有正直网友呼吁停止恶意攻击……在半夜十二点以后，用百度搜索关键字，前几十页的PW论坛几乎都被关闭了……

　　这一场“腥风血雨”，亦是一场对个人网站安全意识的重大考验。

　　站长：
　　飞来横祸难消受

　　此次漏洞事件，最受伤的莫过于被黑论坛的站长们。

　　案例一：陈先生是在接到PW官方的电话提醒后，才发现自己的论坛数据已经全部被清空的。黑客还在论坛上留下了联系方式，称只有“付一点网站维护费”才能取回所有的数据文件。陈先生的网站是技术类论坛，并推出了VIP付费会员服务，所以数据至关重要。更惨的是，论坛的最后一次数据备份是在半年前……不愿意迁就黑客的陈生生将服务器硬盘拿到数据恢复的公司，花高价才成功修复了网站数据。

　　案例二：一个日IP过万的网站站长王先生，最近一直没有登录自己论坛的管理后台，也就不知道最新的漏洞。直到升级了杀毒软件，才发现网页已经被植入了木马病毒。王先生以最快速度删除了病毒木马，并在网站发布了让会员查毒的公告。但显然，这次事件，无论是对网站的发展还是用户粘性，都有不小的破坏。

　　案例三：一位网名叫Sun的站长，网站数据被全部删除，三天里他只睡了三个小时，所有时间都用来恢复数据库。但即使数据已经成功恢复，论坛人气和流量已经下降了很多。

    PW官方：
    愿给站长一个说法

　　应该说，PHPWind官方对此次漏洞事件的反应还是相当迅速的。在攻击工具流传的两个小时之内，官方论坛就及时发布了安全修复补丁以及密码恢复工具，并发出远程更新通告，所有没打补丁的论坛将持续显示更新公告。同时，还为站长提供无偿的故障排查及善后修复服务。

　　虽然PW程序是免费的，但官方网站还是竭尽全力负起责任，表示一定要给站长一个说法。PW的技术人员解释，此次程序漏洞是出在require文件夹中的passport_client.php文件过滤不严格造成的，从而导致数据库存在了注入隐患，使攻击者可以任意修改别人的密码。技术人员说，希望通过《电脑报》向广大站长说明整个事件经过，让所有PW论坛的用户尽快打好补丁，以使由此事件带来的潜在风险降到最低。同时，他们已经向公安机关报案，希望能用法律来保护站长的利益。

　　官方解决方案：http://www.phpwind.net/read-htm-tid-392683.html
　　
　　专家：
　　网站被黑为哪般

　　一位不愿意透露姓名的黑客，向记者道出了此次事件影响巨大的根本原因。他说，网站程序出现漏洞是很平常的事情，只是这次漏洞被检测者发现后并没有通知官方，而是先发布了漏洞利用工具。攻击方法实在太简单，只要输入论坛地址和管理员账号就可以更改密码。即使是对电脑知识了解不深的人，也能轻易“黑”掉一个没打补丁的站点。

　　如今，网站被黑已经是一个普遍现象。回顾过去，每次各种程序的安全漏洞，都会引来众多黑客的“邪恶目光”。目前，有80%的恶意软件是通过网页病毒传播的。这在个人网站上表现尤甚，往往因为站长一时疏忽，网站就被人嵌入了木马。而且，网站遭到破坏后，很难取证，这就助长了不负责任的“黑客”行为。而且，漏洞的补丁大多会在黑客攻击后才放出，这意味着总会有一批站长在补丁未发放前，成为黑客攻击的牺牲品。

　　专家认为，此次PW事件也不能全怪在工具研制者和程序本身。从安全角度来讲，任何程序都没有绝对的安全可言。专家建议各位站长，每天按时备份网站数据。

　　网站安全的预防与善后

　　此次PW论坛程序漏洞事件，也暴露了部分站长安全意识不强的问题。其实，只要平时注意防范，同时，万一网站被黑，采取正确的处理方式，是可以最大限度地减少自己网站损失的。

　　生于防范，死于疏忽

Chinaz.com

　　目前，大多数站长在建站时都是使用现成的网站程序，比如ASP或PHP语言建站程序虽然使用方便，但也存在一定的安全隐患，一定要提前做好安全防范，才能够高枕无忧。 中国站长.站

　　修改管理文件名称 中国站长_站,为中文网站提供动力

　　很多网站程序的管理后台都使用默认的文件名称，例如admin等常用单词很容易被猜解，类似的文件名称对网站的安全性有害无益，如果我们将文件名改为复杂的字母组合，比如将admin.php修改为endtoweb123.php等名称，管理网站的时候直接输入文件名称即可（如http://www.你的域名.com/endtoweb123.php）。这样做的好处就是，即使黑客破解了程序的管理账号密码，也无法登录管理后台，从而阻断黑客的入侵。 Chinaz.com