近期黑客利用網站的免費WEB編輯器(eWebEditor)漏洞進行入侵，導致一些網站數據被刪除，首頁被篡改。近日某市網監對被入侵網站的痕跡分析，得出其基本情況如下：

　　一、判斷網站是否使用了eWebEditor的簡單方法：查看程序源代碼，看看源碼中是否存在類似“ewebeditor.asp?id=”語句，只要有此語句的存在，就能判斷網站確實使用了WEB編輯器。

　　二、該WEB編輯器可能被黑客利用攻擊的安全漏洞：

　　(1)管理員未對編輯器的數據庫路徑和名稱進行修改，導致黑客可以利用編輯器默認路徑直接對網站數據庫進行下載。

　　(2)管理員未對編輯器的用戶登錄路徑進行修改，導致黑客可以利用網站數據庫所獲得的用戶名和密碼直接登陸編輯器管理后臺。

　　(3)該WEB編輯器上傳程序存在的安全漏洞：

　　請看Upload.asp文件，程序中有這么一段表達式：

　　sAllowExt = Replace(UCase(sAllowExt), "ASP", "")任何情況下都不允許上傳asp腳本文件

　　但該語句僅過濾了ASP文件，未同時過濾ASA、CER等文件。上述兩類文件同樣可以構成ASP程序后門程序。黑客還能利用在上傳程序類型中增加“aaspsp”來繞過此方法對擴展名的過濾，根據該語句的過濾規則，“aaspsp”過濾了“asp”字符后，反而變成了“asp”，這種類似的漏洞利用方法也可以運用在動網論壇7.0 sp2中。

　　總結

　　面對此種威脅網站管理員應該做好如下的防范措施：

　　1、使用了eWebEditor編輯器的網站，應及時修改該編輯器的默認數據庫路徑和后綴名，防止數據庫被黑客非法下載

　　2、修改編輯器后臺登陸路徑和默認的登陸用戶名和密碼，防止黑客進入后臺管理界面

　　3、對Upload.asp語句進行修改,防止黑客利用其上傳ASP木馬從而獲得WEB權限

　　4、及時對網站服務器IIS配置中的應用程序擴展名映射進行整理，確保其它類型的文件不能在服務器網站上運行。