熊海博客

前几天下午没事，用手机打开我的个人博客，发现有点不大对劲，页面显示出了问题，显示了一个另外的页面，上面大概就是网站被黑，装逼的写了一段话。

急忙打开电脑，用FTP看了一下，首页文件遭到了更改，首先想到的可能是被利用某个漏洞给黑了，把自己写的源程序仔细检查了一遍，却没有发现任何问题，程序已经对敏感的东西进行多次过滤了，按理来说从我的程序找到的漏洞可能性不大，先不说自己的程序进行了多重安全措施，况且这个PHP版程序全世界只有这一份。

这是被替换后的首页内容(网址用星号代替)：

<html><head>
          <title>QQ:1027663760撸过 </title>
<body><center>
<p><img border="0" src="
http://***.biz/t/50/1409981910x-954497761.jpg"></p
>
<p><h5 align="center">低调撸过此战点！
<P><h5 align="center">qq1027663760 by: 
www.***
<p>专业装逼30年，撸站带机油 永久收徒！
<p>('关注中国网络安全,维护祖国尊严！'
<p><iframe src="
http://www.***.cn/ergemp3/xiaonezha.html
" height="1px;" width="1px;"></iframe>

 检查了其他问题，没有发现什么问题，替换了首页文件，但是没过了一会，首页文件又被替换成了上面的内容，于是将程序全部下载下来，一一进行检查，最终发现了问题的所在，我使用的是百度编辑器，而且使用的是“Editer”目录名，目录下PHP文件夹多了几个文件：

key.txt：

<?php

    return "die"; //意思是不运行下面的代码

?>

LinghtNing.asp、myshell.php、niba.php

看了源码，基本上明白了，利用以上上传的几个文件生成了index.php文件覆盖了首页文件，主要是攻击者利用百度编辑器漏洞再加上我使用常见的编辑器目录名，成就了这次利用编辑器漏洞攻击的事件。

在此，希望各位站长注意尽量不要使用默认的文件名，另外对于因为编辑器的开放性，最好取一个别人猜不到的目录名，然后加上身份认证。