系统上所有启动httpd用户有权限阅读的文件

 

建议：禁止对/msads目录的匿名访问

解决方法：将在您Web目录中的showcode.asp删除或移走

请前往以下地址查询补丁

InternetInformationServer:

ftp://ftp.*******.com/bussys/iis/iis-public/fixes/usa/

Viewcode-fix/

SiteServer:

ftp://ftp.*******.com/bussys/sitesrv/sitesrv-public/fixes/usa/

siteserver3/hotfixes-postsp2/Viewcode-fix/

http://www.hacker.com.cn/security/products/iis/checklist.asp

相关连接：ftp://ftp.*******.com/bussys/iis/iis-public/fixes/

usa/Viewcode-fix/

 

类型：攻击型

名字：/msadc目录可以访问

风险等级：中

描述：WindowsNTIISserver下的/msadc目录可以访问，会造成一系列安全

　　　问题，包括被入侵者非法调用应用程序

建议：建议删除不必要的由IIS缺省安装形成的目录

解决方法：禁止/msadc目录，如果必须打开该目录，至少应该设置成合法

　　　　　用户需要密码才能访问

 

类型：攻击型

名字：search97.vts

风险等级：中

描述：这个文件将能使入侵者任意的读取你系统中启动httpd用户能读取

　　　的文件

建议：将在您Web目录中的search97.vts删除或移走

解决方法：将在您Web目录中的search97.vts删除或移走,或前往以下地址

　　　　　下载Patch

　　　　　https://***********.verity.com/products/server/310/

　　　　　patches/

 

类型：攻击型

名字：carbo.dll

风险等级：低

描述：如果您安装了SystemsrunningiCatSuiteversion3.0，那么它将自

　　　动在你的系统上添加一个叫carbo.dll的文件，而入侵者将能利用

　　　这个文件访问您系统上的热和文件

建议：将在您Web目录中的openfile.cfm删除或移走

解决方法：将在您Web目录中的openfile.cfm删除或移走

 

类型：攻击型

名字：whois_raw.cgi

风险等级：低

描述：因为whois_raw.cgi作者的失误，这个CGI将使入侵者能够以您系统

　　　上启动httpd的用户的权限执行您系统上任意的程序

建议：将在您Web目录中的whois_raw.cgi删除或移走

解决方法：将在您Web目录中的whois_raw.cgi删除或移走

 

类型：攻击型

名字：doc

风险等级：低

描述：您的Web目录可以文件列表，这将帮助入侵者分析您的系统信息

建议：将您的所有Web目录设置为不能文件列表

解决方法：将您的所有Web目录设置为不能文件列表

 

类型：攻击型

名字：.html/............./config.sys

风险等级：低

描述：如果您使用的是较久版本的ICQ，那么入侵者能够利用它阅读您机

　　　器上的所有文件

建议：下载新版本的ICQ

解决方法：请前往以下地址下载新版本的ICQ

 

类型：攻击型

名字：....../

风险等级：中

描述：您使用的WebServer软件能使入侵者阅读您系统上的所有文件

建议：更换或升级您的WebServer软件

解决方法：更换或升级您的WebServer软件

 

类型：攻击型

名字：no-such-file.pl

风险等级：低

描述：由于您的WebServer软件的缺陷，使得入侵者能够利用不存在的CGI

　　　脚本请求来分析您的站点的目录结构

建议：升级您的WebServer软件

解决方法：升级您的WebServer软件

 

类型：攻击型

名字：_vti_bin/shtml.dll

风险等级：低

描述：入侵者利用这个文件将能使您的系统的CPU占用率达到100%

建议：将_vti_bin/shtml.dll从您的Web目录删除或移走

解决方法：将_vti_bin/shtml.dll从您的Web目录删除或移走

 

类型：信息型

名字：nph-publish

风险等级：中

描述：在/cgi-bin目录下存在nph-publish文件，这使入侵者能通过www浏

　　　览服务器上的任何文件

建议：建议审查/cgi-bin目录，删除不必要的cgi程序

解决方法：删除nph-publish文件

 

类型：信息型

名字：showcode.asp

风险等级：中

描述：在/msadc/Samples/SELECTOR/showcode.asp?source=/msadc/Sampl

　　　es/SELECTOR/目录下存在showcode.asp文件可以被入侵者利用来查

　　　看服务器上的文件内容

建议：最好禁止/msadc这个web目录的匿名访问，建议删除这个web目录

解决方法：删除showcode.asp文件

 

类型：信息型

名字：_vti_inf.html

风险等级：中

描述：web根目录下存在_vti_inf.html文件,该文件是Frontpageexten-

　　　-tionserver的特征,包含了一系列FrontpageExtentionServer的重

　　　要信息；而且FrontpageExtentionserver是一个有很多漏洞的web

　　　服务，用它入侵者可能直接修改首页文件。

建议：用ftp等其它方式上载网页文件

解决方法：卸载FrontpageExtentionServer

 

类型：信息型

名字：index.asp::$DATA

风险等级：中

描述：asp程序的源代码可以被后缀+::$DATA的方法查看到,这样入侵者可

　　　以设法查到服务器数据库密码等重要信息

建议：建议留意微软最新关于codeview的补丁和安全公告

解决方法：安装servicespack6或者打补丁:

ftp://ftp.*******.com/bussys/iis/iis-public/fixes/chs/security/

fesrc-fix/

相关连接：ftp://ftp.*******.com/bussys/iis/iis-public/fixes/

chs/security/fesrc-fix/

 

类型：攻击型

名字：main.asp%81

风险等级：低

描述：asp程序的源代码可以被后缀+%81的方法查看到,这样入侵者可以设

　　　法查到服务器数据库密码等重要信息

建议：建议留意微软最新关于codeview的补丁和安全公告

解决方法：安装servicespack6或者打补丁:

ftp://ftp.*******.com/bussys/iis/iis-public/fixes/chs/security

/fesrc-fix/

相关连接：ftp://ftp.*******.com/bussys/iis/iis-public/fixes/

chs/security/fesrc-fix/

 

类型：信息型

名字：showcode.asp_2

风险等级：中

描述：在/msadc/Samples/SELECTOR/目录下存在showcode.asp文件,用下

　　　面的路径:http://www.hacker.com.cn/msadc/Samples/SELECTOR/showcode.

　　　asp?source=/msadc/Samples/../../../../../boot.ini可以查到

　　　boot.ini文件的内容;实际上入侵者能够利用这个ASP查看您系统上

　　　所有启动httpd用户有权限阅读的文件

建议：禁止对/msadc目录的匿名访问

解决方法：将在您Web目录中的showcode.asp删除或移走

请前往以下地址查询补丁

InternetInformationServer:ftp://ftp.*******.com/bussys/iis/iis

-public/fixes/usa/Viewcode-fix/

SiteServer:

ftp://ftp.*******.com/bussys/sitesrv/sitesrv-public/fixes/usa/

siteserver3/hotfixes-postsp2/Viewcode-fix/

http://www.hacker.com.cn/security/products/iis/checklist.asp

相关连接：ftp://ftp.*******.com/bussys/iis/iis-public/fixes/

usa/Viewcode-fix/

 

类型：攻击型

名字：ism.dll

风险等级：高

描述：在/scripts/iisadmin/目录下存在ism.dll文件,这个文件有一个溢

　　　出错误，允许入侵者在服务器上执行任意一段程序;另外。攻击者

　　　还随时可以令服务器的www服务死掉

建议：禁止对/scripts目录的匿名访问

解决方法：删除/scripts/iisadmin/ism.dll,或者打开iis的管理控制台，

　　　　　选取默认web站点，点右键，选取属性，点:"主目录",在起始

　　　　　点那行点"配置"按钮,将".htr"的应用程序映射项删除

 

类型：信息型

名字：codebrws.asp_2

风险等级：中

描述：在/iissamples/sdk/asp/docs/下面存在codebrws.asp文件,用下面

　　　的路径:http://www.hacker.com.cn/iissamples/exair/howitworks/code

　　　brws.asp?source=/index.asp就可以查看到index.asp的源码。实

　　　际上任何ascii文件都可以浏览。

建议：删除名叫/iissamples/的web目录

解决方法：将在您Web目录中的codebrws.asp删除或移走

请前往以下地址查询补丁

InternetInformationServer:

ftp://ftp.*******.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/

SiteServer:

ftp://ftp.*******.com/bussys/sitesrv/sitesrv-public/fixes/usa/

siteserver3/hotfixes-postsp2/Viewcode-fix/

http://www.hacker.com.cn/security/products/iis/checklist.asp

相关连接：ftp://ftp.*******.com/bussys/iis/iis-public/fixes/

usa/Viewcode-fix/

 

类型：攻击型

名字：uploadn.asp

风险等级：高

描述：在/scripts/tools目录下存在uploadn.asp程序,只要入侵者有一个

　　　可用帐号，哪怕是Guest帐号，就可以上传任何文件到你的web目录，

　　　除了替换主页外，他更可以进一步控制你的整个系统!

建议：删除名为/scripts的web目录

解决方法：删除uploadn.asp文件

相关连接：

 

类型：攻击型

名字：uploadx.asp

风险等级：高

描述：在/scripts/tools目录下存在uploadx.asp程序,只要入侵者有一个

　　　可用帐号，哪怕是Guest帐号，就可以上传任何文件到你的web目录，

　　　除了替换主页外，他更可以进一步控制你的整个系统!

建议：删除名为/scripts的web目录

解决方法：删除uploadx.asp文件

相关连接：

 

类型：攻击型

名字：query.asp

风险等级：低

描述：在/IISSAMPLES/ExAir/Search/的目录下存在query.asp文件,这个

　　　文件有个漏洞如果被攻击者利用，后果将导致CPU使用率达到100%，

　　　机器速度将明显变慢

建议：禁止对/iissamples目录的存取

解决方法：删除query.asp文件

 

71

类型：攻击型

名字：advsearch.asp

风险等级：低

描述：在/IISSAMPLES/ExAir/Search/的目录下存在query.asp文件,这个

　　　文件有个漏洞如果被攻击者利用，后果将导致CPU使用率达到100%，

　　　机器速度将明显变慢

建议：禁止对/iissamples目录的存取

解决方法：删除advsearch.asp文件

 

类型：攻击型

名字：search.asp

风险等级：低

描述：在/IISSAMPLES/ExAir/Search/的目录下存在search.asp文件,这个

　　　文件有个漏洞如果被攻击者利用，后果将导致CPU使用率达到100%，

　　　机器速度将明显变慢

建议：禁止对/iissamples目录的存取

解决方法：删除search.asp文件

 

类型：攻击型

名字：getdrvrs.exe

风险等级：中

描述：这个存在于/scripts/tools目录下的getdrvrs.exe文件允许任何一

　　　个用户在web根目录下创建任何文件,和创建ODBC数据源

建议：禁止对/scripts/tools目录的匿名访问

解决方法：删除getdrvrs.exe文件

 

类型：攻击型

名字：newdsn.exe

风险等级：中

描述：这个存在于/scripts/tools目录下的newdsn.exe文件允许任何一个

　　　用户在web根目录下创建任何文件,如:

http://*******.*******.*******.*******/scripts/tools/newdsn.exe?driver=*******

%2BAccess%2BDriver%2B%28*.mdb%29&dsn=Evil2+samples+from+*******

&dbq=..%2F..%2Fwwwroot%2Fevil2.htm&newdb=CREATE_DB&attr=

建议：禁止对/scripts/tools目录的匿名访问

解决方法：删除newdsn.exe文件

 

类型：信息型

名字：showcode.asp_3

风险等级：中

描述：在/iissamples/exair/howitworks/存在code.asp文件,入侵者利用

　　　该文件可以查看服务器硬盘上任何一个ASCII文件的内容,并显示asp

　　　程序文件的源代码

建议：禁止对/iissamples的web目录的匿名访问

解决方法：删除showcode.asp文件

 

类型：攻击型

名字：aexp.htr

风险等级：中

描述：在/iisadmpwd目录下存在aexp.htr文件,类似的还有aexp2.htr,

　　　aexp3.htr和aexp4b.htr等,这些文件允许攻击者用穷举法等方式破

　　　解和修改NT用户的密码。

建议：建议禁止对/iisadmpwd目录的访问

解决方法：删除aexp.htr文件

 

类型：攻击型

名字：aexp2.htr

风险等级：中

描述：在/iisadmpwd目录下存在aexp2.htr文件,类似的还有aexp2.htr,

　　　aexp3.htr和aexp4b.htr等,这些文件允许攻击者用穷举法等方式破

　　　解和修改NT用户的密码。

建议：建议禁止对/iisadmpwd目录的访问

解决方法：删除aexp2.htr文件

 

类型：攻击型

名字：aexp3.htr

风险等级：中

描述：在/iisadmpwd目录下存在aexp3.htr文件,类似的还有aexp2.htr,

　　　aexp3.htr和aexp4b.htr等,这些文件允许攻击者用穷举法等方式破

　　　解和修改NT用户的密码。

建议：建议禁止对/iisadmpwd目录的访问

解决方法：删除aexp3.htr文件