2010新云漏洞

qq10740810

漏洞利用简介

该漏洞主要是因为windows2003文件解析的错误，加上新云会员中心可以上传自命名的文件形成的。在会员中心上传文件名为xxx.asa;xxx.jpg类似的文件格式WIN2003会当做ASP文件来解析，如果是上传的ASP木马则可以获得网站的控制权，危害不可小觑，有很多用新云做的黑客站也被黑了。

官方补丁修复

如果你的不是新云4 SP2的立即更新到SP2即可，在18号以前的SP2需要下载新云最新的SP2后替换INC/cls_upload.asp文件就可以了。

个人安全建议

1、修改数据库路径以及管理员路径（越复杂越好），数据库路径修改后再CONN.ASP里也要修改成对应的位置。

2、删除不必要的文件，下面列出几个我经常删的目录

soft：下载目录，对于只有文章的站就可以删除了；

article：文章目录，同上；

flash：动画目录，同上；

ask：新云问答目录，不需要的可以删除，基本也很少人用，因为它和新云主程序还不是一个数据库；

users：对于没会员中心的模板那也可以删除了。

vote：新云投票，个人觉得也没要的必要。