shandongflower.com 's blog

前天网站莫名其妙被篡改首页，并且用asp木马扫描工具未发现，任何木马形迹，查看被修改页面发现日期为5-20日，于是直击20号的文件，未发现错误，因为本人以前没有看日志的习惯，众多方法都未发现原因，找到网上黑客朋友也没找到，后来朋友告诉我看看你的网站日志吧。我一想也是，于是打开日志：发现下面的一段代码较可疑： Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 到网上以查询，原来是我开启了webDAV扩展，按照操作一一关闭。安全解决。解决方法发上来大家分享： 1.建议您选择关闭WebDAV（在IIs中的web服务扩展将webdav禁止）同时执行下面操作： 方法： 启动注册表编辑器 (Regedt32.exe). 在注册表中查找并选择: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters 在编辑菜单中, 单击增加键值, 然后增加下列键值: Value name: DisableWebDAV Data type: DWORD Value data: 1 针对问题所在，重点说明漏洞情况： Microsoft IIS 5.0（Internet Infomation Server 5）是Microsoft Windows 2000自带的一个网络信息服务器，其中包含HTTP服务功能。IIS5 默认提供了对WebDAV的支持，通过WebDAV可以通过HTTP向用户提供远程文件存储的服务。但是作为普通的HTTP服务器，这个功能不是必需的。 IIS 5.0包含的WebDAV组件不充分检查传递给部分系统组件的数据，远程攻击者利用这个漏洞对WebDAV进行缓冲区溢出攻击，可能以WEB进程权限在系统上执行任意指令。 IIS 5.0的WebDAV使用了ntdll.dll中的一些函数，而这些函数存在一个缓冲区溢出漏洞。通过对WebDAV的畸形请求可以触发这个溢出。成功利用这个漏洞可以获得LocalSystem权限。这意味着，入侵者可以获得主机的完全控制能力。 但是目前我发现，win2003&winxp的IIS依然存在缺陷，建议禁止webdav。常用检测工具：对IIS写权限利用工具 IISxqxld WebDavX3 iiswrite.exe 有问题与我联系：QQ 99158198