cgi 安全漏洞资料速查.txt

黑客的指令

建议：将在您Web目录中的openfile.cfm删除或移走 
解决方法：将在您Web目录中的openfile.cfm删除或移走 

类型：攻击型 
名字：whois_raw.cgi 
风险等级：低 
描述：因为whois_raw.cgi作者的失误，这个CGI将使入侵者能够以您系统 
　　　上启动httpd的用户的权限执行您系统上任意的程序 
建议：将在您Web目录中的whois_raw.cgi删除或移走 
解决方法：将在您Web目录中的whois_raw.cgi删除或移走 

类型：攻击型 
名字：doc 
风险等级：低 
描述：您的Web目录可以文件列表，这将帮助入侵者分析您的系统信息 
建议：将您的所有Web目录设置为不能文件列表 
解决方法：将您的所有Web目录设置为不能文件列表 

类型：攻击型 
名字：.html/............./config.sys 
风险等级：低 
描述：如果您使用的是较久版本的ICQ，那么入侵者能够利用它阅读您机 
　　　器上的所有文件 
建议：下载新版本的ICQ 
解决方法：请前往以下地址下载新版本的ICQ 

类型：攻击型 
名字：....../ 
风险等级：中 
描述：您使用的WebServer软件能使入侵者阅读您系统上的所有文件 
建议：更换或升级您的WebServer软件 
解决方法：更换或升级您的WebServer软件 

类型：攻击型 
名字：no-such-file.pl 
风险等级：低 
描述：由于您的WebServer软件的缺陷，使得入侵者能够利用不存在的CGI 
　　　脚本请求来分析您的站点的目录结构 
建议：升级您的WebServer软件 
解决方法：升级您的WebServer软件 

类型：攻击型 
名字：_vti_bin/shtml.dll 
风险等级：低 
描述：入侵者利用这个文件将能使您的系统的CPU占用率达到100% 
建议：将_vti_bin/shtml.dll从您的Web目录删除或移走 
解决方法：将_vti_bin/shtml.dll从您的Web目录删除或移走 

类型：信息型 
名字：nph-publish 
风险等级：中 
描述：在/cgi-bin目录下存在nph-publish文件，这使入侵者能通过www浏 
　　　览服务器上的任何文件 
建议：建议审查/cgi-bin目录，删除不必要的cgi程序 
解决方法：删除nph-publish文件 

类型：信息型 
名字：showcode.asp 
风险等级：中 
描述：在/msadc/Samples/SELECTOR/showcode.asp?source=/msadc/Sampl 
　　　es/SELECTOR/目录下存在showcode.asp文件可以被入侵者利用来查 
　　　看服务器上的文件内容 
建议：最好禁止/msadc这个web目录的匿名访问，建议删除这个web目录 
解决方法：删除showcode.asp文件 

类型：信息型 
名字：_vti_inf.html 
风险等级：中 
描述：web根目录下存在_vti_inf.html文件,该文件是Frontpageexten- 
　　　-tionserver的特征,包含了一系列FrontpageExtentionServer的重 
　　　要信息；而且FrontpageExtentionserver是一个有很多漏洞的web 
　　　服务，用它入侵者可能直接修改首页文件。 
建议：用ftp等其它方式上载网页文件 
解决方法：卸载FrontpageExtentionServer 

类型：信息型 
名字：index.asp::$DATA 
风险等级：中 
描述：asp程序的源代码可以被后缀+::$DATA的方法查看到,这样入侵者可 
　　　以设法查到服务器数据库密码等重要信息 
建议：建议留意微软最新关于codeview的补丁和安全公告 
解决方法：安装servicespack6或者打补丁: 
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/chs/security/ 
fesrc-fix/ 
相关连接：ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/ 
chs/security/fesrc-fix/ 

类型：攻击型 
名字：main.asp%81 
风险等级：低 
描述：asp程序的源代码可以被后缀+%81的方法查看到,这样入侵者可以设 
　　　法查到服务器数据库密码等重要信息 
建议：建议留意微软最新关于codeview的补丁和安全公告 
解决方法：安装servicespack6或者打补丁: 
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/chs/security 
/fesrc-fix/ 
相关连接：ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/ 
chs/security/fesrc-fix/ 

类型：信息型 
名字：showcode.asp_2 
风险等级：中 
描述：在/msadc/Samples/SELECTOR/目录下存在showcode.asp文件,用下 
　　　面的路径:http://www.xxx.com/msadc/Samples/SELECTOR/showcode. 
　　　asp?source=/msadc/Samples/../../../../../boot.ini可以查到 
　　　boot.ini文件的内容;实际上入侵者能够利用这个ASP查看您系统上 
　　　所有启动httpd用户有权限阅读的文件 
建议：禁止对/msadc目录的匿名访问 
解决方法：将在您Web目录中的showcode.asp删除或移走 
请前往以下地址查询补丁 
InternetInformationServer:ftp://ftp.microsoft.com/bussys/iis/iis 
-public/fixes/usa/Viewcode-fix/ 
SiteServer: 
ftp://ftp.microsoft.com/bussys/sitesrv/sitesrv-public/fixes/usa/ 
siteserver3/hotfixes-postsp2/Viewcode-fix/ 
http://www.microsoft.com/security/products/iis/checklist.asp 
相关连接：ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/ 
usa/Viewcode-fix/ 

类型：攻击型 
名字：ism.dll 
风险等级：高 
描述：在/scripts/iisadmin/目录下存在ism.dll文件,这个文件有一个溢 
　　　出错误，允许入侵者在服务器上执行任意一段程序;另外。攻击者 
　　　还随时可以令服务器的www服务死掉 
建议：禁止对/scripts目录的匿名访问 
解决方法：删除/scripts/iisadmin/ism.dll,或者打开iis的管理控制台， 
　　　　　选取默认web站点，点右键，选取属性，点:\"主目录\",在起始 
　　　　　点那行点\"配置\"按钮,将\".htr\"的应用程序映射项删除 

类型：信息型 
名字：codebrws.asp_2 
风险等级：中 
描述：在/iissamples/sdk/asp/docs/下面存在codebrws.asp文件,用下面 
　　　的路径:http://www.xxx.com/iissamples/exair/howitworks/code 
　　　brws.asp?source=/index.asp就可以查看到index.asp的源码。实 
　　　际上任何ascii文件都可以浏览。 
建议：删除名叫/iissamples/的web目录 
解决方法：将在您Web目录中的codebrws.asp删除或移走 
请前往以下地址查询补丁 
InternetInformationServer: 
ftp://ftp.microsoft.com/bussys/i ... s/usa/Viewcode-fix/ 
SiteServer: 
ftp://ftp.microsoft.com/bussys/sitesrv/sitesrv-public/fixes/usa/ 
siteserver3/hotfixes-postsp2/Viewcode-fix/ 
http://www.microsoft.com/security/products/iis/checklist.asp 
相关连接：ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/ 
usa/Viewcode-fix/ 

类型：攻击型 
名字：uploadn.asp 
风险等级：高 
描述：在/scripts/tools目录下存在uploadn.asp程序,只要入侵者有一个 
　　　可用帐号，哪怕是Guest帐号，就可以上传任何文件到你的web目录， 
　　　除了替换主页外，他更可以进一步控制你的整个系统! 
建议：删除名为/scripts的web目录 
解决方法：删除uploadn.asp文件 
相关连接： 

类型：攻击型 
名字：uploadx.asp 
风险等级：高 
描述：在/scripts/tools目录下存在uploadx.asp程序,只要入侵者有一个 
　　　可用帐号，哪怕是Guest帐号，就可以上传任何文件到你的web目录， 
　　　除了替换主页外，他更可以进一步控制你的整个系统! 
建议：删除名为/scripts的web目录 
解决方法：删除uploadx.asp文件 
相关连接： 

类型：攻击型 
名字：query.asp 
风险等级：低 
描述：在/IISSAMPLES/ExAir/Search/的目录下存在query.asp文件,这个 
　　　文件有个漏洞如果被攻击者利用，后果将导致CPU使用率达到100%， 
　　　机器速度将明显变慢 
建议：禁止对/iissamples目录的存取 
解决方法：删除query.asp文件 

71 
类型：攻击型 
名字：advsearch.asp 
风险等级：低 
描述：在/IISSAMPLES/ExAir/Search/的目录下存在query.asp文件,这个 
　　　文件有个漏洞如果被攻击者利用，后果将导致CPU使用率达到100%， 
　　　机器速度将明显变慢 
建议：禁止对/iissamples目录的存取 
解决方法：删除advsearch.asp文件 

类型：攻击型 
名字：search.asp 
风险等级：低 
描述：在/IISSAMPLES/ExAir/Search/的目录下存在search.asp文件,这个 
　　　文件有个漏洞如果被攻击者利用，后果将导致CPU使用率达到100%， 
　　　机器速度将明显变慢 
建议：禁止对/iissamples目录的存取 
解决方法：删除search.asp文件 

类型：攻击型 
名字：getdrvrs.exe 
风险等级：中 
描述：这个存在于/scripts/tools目录下的getdrvrs.exe文件允许任何一 
　　　个用户在web根目录下创建任何文件,和创建ODBC数据源 
建议：禁止对/scripts/tools目录的匿名访问 
解决方法：删除getdrvrs.exe文件 

类型：攻击型 
名字：newdsn.exe 
风险等级：中 
描述：这个存在于/scripts/tools目录下的newdsn.exe文件允许任何一个 
　　　用户在web根目录下创建任何文件,如: 
http://xxx.xxx.xxx.xxx/scripts/tools/newdsn.exe?driver=Microsoft 
%2BAccess%2BDriver%2B%28*.mdb%29&dsn=Evil2+samples+from+microsoft 
&dbq=..%2F..%2Fwwwroot%2Fevil2.htm&newdb=CREATE_DB&attr= 
建议：禁止对/scripts/tools目录的匿名访问 
解决方法：删除newdsn.exe文件 

类型：信息型 
名字：showcode.asp_3 
风险等级：中 
描述：在/iissamples/exair/howitworks/存在code.asp文件,入侵者利用 
　　　该文件可以查看服务器硬盘上任何一个ASCII文件的内容,并显示asp 
　　　程序文件的源代码 
建议：禁止对/iissamples的web目录的匿名访问 
解决方法：删除showcode.asp文件 

类型：攻击型 
名字：aexp.htr 
风险等级：中 
描述：在/iisadmpwd目录下存在aexp.htr文件,类似的还有aexp2.htr, 
　　　aexp3.htr和aexp4b.htr等,这些文件允许攻击者用穷举法等方式破 
　　　解和修改NT用户的密码。 
建议：建议禁止对/iisadmpwd目录的访问 
解决方法：删除aexp.htr文件 

类型：攻击型 
名字：aexp2.htr 
风险等级：中 
描述：在/iisadmpwd目录下存在aexp2.htr文件,类似的还有aexp2.htr, 
　　　aexp3.htr和aexp4b.htr等,这些文件允许攻击者用穷举法等方式破 
　　　解和修改NT用户的密码。 
建议：建议禁止对/iisadmpwd目录的访问 
解决方法：删除aexp2.htr文件 

类型：攻击型 
名字：aexp3.htr 
风险等级：中 
描述：在/iisadmpwd目录下存在aexp3.htr文件,类似的还有aexp2.htr, 
　　　aexp3.htr和aexp4b.htr等,这些文件允许攻击者用穷举法等方式破 
　　　解和修改NT用户的密码。 
建议：建议禁止对/iisadmpwd目录的访问 
解决方法：删除aexp3.htr文件 

类型：攻击型 
名字：aexp4b.htr 
风险等级：中 
描述：在/iisadmpwd目录下存在aexp4b.htr文件,类似的还有aexp2.htr, 
　　　aexp3.htr和aexp4b.htr等,这些文件允许攻击者用穷举法等方式破 
　　　解和修改NT用户的密码。 
建议：建议禁止对/iisadmpwd目录的访问 
解决方法：删除aexp4b.htr文件 

类型：攻击型 
名字：achg.htr 
风险等级：中 
描述：在/iisadmpwd目录下存在aechg.htr文件,类似的还有aexp2.htr, 
　　　aexp3.htr和aexp4b.htr等,这些文件允许攻击者用穷举法等方式破 
　　　解和修改NT用户的密码。 
建议：建议禁止对/iisadmpwd目录的访问 
解决方法：删除achg.htr文件 

类型：攻击型 
名字：ExprCale.cfm 
风险等级：中 
描述：在Coldfusion的web目录:/cfdocs/expeval/ExprCalc.cfm文件，这 
　　　个文件有个漏洞允许用户读取服务器硬盘上的任意文件包括用户密 
　　　码数据库sam文件 
建议：删除相关的文件 
解决方法：删除ExprCalc.cfm文件 

类型：攻击型 
名字：getfile.cfm 
风险等级：中 
描述：在Coldfusion的web目录:/getfile.cfm文件，这个文件有个漏洞允 
许用户读取服务器硬盘上的任意文件包括用户密码数据库sam文件 
建议：删除相关的文件 
解决方法：删除getfile.cfm文件 

类型：信息型 
名字：x.htw 
风险等级：中 
描述：IIS4.0上有一个应用程序映射htw--->webhits.dll，这是用于Inde 
　　　xServer的点击功能的。尽管你不运行IndexServer，该映射仍然有 
　　　效。这个应用程序映射存在漏洞，允许入侵者读取本地硬盘上的文 
　　　件，数据库文件，和ASP源代码。 
建议在IIS控制台中删除无用的应用程序映射 

类型：信息型 
名字：qfullhit.htw 
风险等级：中 
描述：IIS4.0上有一个应用程序映射htw--->webhits.dll，这是用于Inde 
　　　xServer的点击功能的。尽管你不运行IndexServer，该映射仍然有 
　　　效。这个应用程序映射存在漏洞，允许入侵者读取本地硬盘上的文 
　　　件，数据库文件，和ASP源代码。 
建议：建议在IIS控制台中删除无用的应用程序映射 

类型：信息型 
名字：iirturnh.htw 
风险等级：中 
描述：IIS4.0上有一个应用程序映射htw--->webhits.dll，这是用于Inde 
　　　xServer的点击功能的。尽管你不运行IndexServer，该映射仍然有 
　　　效。这个应用程序映射存在漏洞，允许入侵者读取本地硬盘上的文 
　　　件，数据库文件，和ASP源代码。 
建议：建议在IIS控制台中删除无用的应用程序映射