解决方法：删除/cgi-bin目录下的AT-admin.cgi程序

 

类型：攻击型

名字：finger

风险等级：中

描述：这个位于/cgi-bin下的finger程序，可以查看其它服务器的信息，

　　　但是如果将参数改成本机，本机上的帐号信息将暴露无遗:

　　　/cgi-bin/finger?@localhost

建议：建议审核cgi-bin目录，避免有不必要的程序存在

解决方法：删除/cgi-bin目录下的finger程序

 

类型：攻击型

名字：webwho.pl

风险等级：中

描述：如果在您的Web可执行目录中有webwho.pl这个CGI脚本，那么入侵

　　　者将能利用他阅读启动Web的用户能读写执行的任何文件。

建议：将webwho.pl从您的Web目录中删除或移走

解决方法：将webwho.pl从您的Web目录中删除或移走

 

类型：攻击型

名字：w3-msql

风险等级：低

描述：MiniSQL软件包发行版本附带的一个CGI（w3-msql）可被用于以

　　　httpd的uid权限执行任意代码。这个安全漏洞是由程序中的scanf()

　　　函数引起的。

建议：如果您安装了MiniSQL软件包,请您将/cgi-bin/目录下的w3-msql文

　　　件删除或移走

解决方法：如果您安装了MiniSQL软件包,请您将/cgi-bin/目录下的w3-msql

　　　　　文件删除或移走.或使用以下补丁。

 

补丁：

 

------w3-msql.patch---------

 

410c410

scanf("%s",boundary); <br>---

<scanf("%128s",boundary);>

418c418

<strcat(var,buffer);

<strncat(var,buffer,sizeof(buffer));

428c428

<scanf("Content-Type:%s",buffer);>

<scanf("Content-Type:%15360s",buffer);>

 

------w3-msql.patch---------

 

类型：攻击型

名字：NetscapeFastTrackserver2.0.1a

风险等级：中

描述：UnixWare7.1附带的NetscapeFastTrackserver2.0.1a存在一个远程

　　　缓冲区溢出漏洞。缺省地，监听457端口的httpd通过http协议提供

　　　UnixWare文档。如果向该服务器传送一个长度超过367字符的GET请

　　　求，会使缓冲区溢出，EIP值被覆盖将可能导致任意代码以httpd权

　　　限执行。

建议：临时解决方法是关闭NetscapeFastTrack服务器

解决方法：临时解决方法是关闭NetscapeFastTrack服务器。

 

类型：攻击型

名字：AnyForm.cgi

风险等级：高

描述：位于cgi-bin目录下的AnyForm.cgi程序，是用于简单表单通过邮件

　　　传递响应的,但该程序对用户输入检查不彻底，可被入侵者利用，

　　　在server上执行任何指令.

建议：建议审核cgi-bin目录，避免有不必要的程序存在

解决方法：建议升级该cgi程序,或者删除该文件

 

类型：攻击型

名字：whois.cgi

风险等级：低

描述：在多个WebServer中带有的Whois.cgi存在溢出漏洞。它们包括：

WhoisInternicLookup-version:1.02

CCWhois-Version:1.0

Matt'sWhois-Version:1

　　他们将使入侵者能够在您的系统上使用启动httpd用户的权限执行任

意的代码

建议：将在您Web目录中问whois.cgi删除或移走

解决方法：将在您Web目录中问whois.cgi删除或移走

 

类型：攻击型

名字：environ.cgi

风险等级：中

描述：在Apachewebserver或者IIS等其它webserver的/cgi-bin/environ.cgi

　　　程序,有一个毛病允许入侵者绕过安全机制，浏览服务器上的一些

　　　文件。

建议：建议审核cgi-bin目录，避免有不必要的程序存在

解决方法：建议升级该cgi程序,或者删除该文件

 

类型：攻击型

名字：wrap

风险等级：中

描述：/cgi-bin/wrap程序有两个漏洞，均允许入侵者获取服务器上文件

　　　的非法访问,如:

　　　http://host/cgi-bin/wrap?/../../../../../etc

建议：建议审核cgi-bin目录，避免有不必要的程序存在

解决方法：删除/cgi-bin/wrap文件

 

类型：攻击型

名字：edit.pl

风险等级：中

描述：/cgi-bin/edit.pl有一个安全弱点,用下面这条命令就可以访问用

　　　户的配置情况:

　http://www.*************r.com/cgi-bin/edit.pl?account=&password=

建议：建议审核cgi-bin目录，避免有不必要的程序存在

解决方法：删除/cgi-bin/edit.pl文件

 

类型：攻击型

名字：service.pwd

风险等级：中

描述：UNix系统的http://www.hacker.com.cn/_vti_pvt/service.pwd可读，

　　　将暴露用户密码信息

建议：建议删除

解决方法：chownrootservice.pwd　chmod700service.pwd

 

类型：攻击型

名字：administrators.pwd

风险等级：中

描述：UNix系统的http://www.hacker.com.cn/_vti_pvt/administrators.pwd

　　　可读,将暴露用户密码信息

建议：建议删除

解决方法：chownrootadministrators.pwd　chmod700administrators.pwd

相关连接：　

 

类型：攻击型

名字：users.pwd

风险等级：中

描述：UNix系统的http://www.hacker.com.cn/_vti_pvt/users.pwd可读，

　　　将暴露用户密码信息

建议：建议删除

解决方法：chownrootusers.pwd　chmod700users.pwd

 

类型：攻击型

名字：authors.pwd

风险等级：中

描述：UNix系统的http://www.hacker.com.cn/_vti_pvt/authors.pwd可读，

　　　将暴露用户密码信息

建议：建议删除

解决方法：chownrootauthors.pwd　chmod700authors.pwd

 

类型：攻击型

名字：visadmin.exe

风险等级：中

描述：在OmniHTTPdWebServer的cgi-bin目录下存在这个文件visadmin.exe，

　　　那么攻击者只要输入下面的命令:

　　　http://*****.server/cgi-bin/visadmin.exe?user=guest数分钟之

　　　后服务器的硬盘将会被撑满

建议：建议删除

解决方法：把visadmin.exe从cgi-bin目录中删除

 

类型：攻击型

名字：get32.exe

风险等级：高

描述：Alibaba的webserver,其cgi-bin目录存在get32.exe这个程序，允

　　　许入侵者任意执行一条指令:

http://www.hacker.com.cn/cgi-bin/get32.exe|echo%20>c:\command.com

建议：建议删除

解决方法：把GET32.exe从cgi-bin目录中删除

 

类型：攻击型

名字：alibaba.pl

风险等级：高

描述：Alibaba的webserver,其cgi-bin目录存在alibaba.pl这个程序，允

　　　许入侵者任意执行一条指令:

　　　http://www.hacker.com.cn/cgi-bin/alibaba.pl|dir

建议：建议删除

解决方法：把alibaba.pl从cgi-bin目录中删除

 

类型：攻击型

名字：tst.bat

风险等级：高

描述：Alibaba的webserver,其cgi-bin目录存在tst.bat这个程序，允许

　　　入侵者任意执行一条指令:

http://www.hacker.com.cn/cgi-bin/tst.bat|type%20c:\windows\win.ini

建议：建议删除

解决方法：把tst.bat从cgi-bin目录中删除

 

类型：攻击型

名字：fpcount.exe

风险等级：低

描述：如果您使用NT作为您的WebServer的操作平台，并只安装了SP3补丁，

　　　那么入侵者能利用这个CGI程序进行DoS攻击，使您的IIS服务拒绝

　　　访问。

建议：将在您Web目录中的fpcount.exe删除或移走

解决方法：将在您Web目录中的fpcount.exe删除或移走

 

类型：攻击型

名字：openfile.cfm

风险等级：低

描述：如果在您的Web目录中含有

　　　/cfdocs/expeval/exprcalc.cfm

　　　/cfdocs/expeval/sendmail.cfm

　　　/cfdocs/expeval/eval.cfm

　　　/cfdocs/expeval/openfile.cfm

　　　/cfdocs/expeval/displayopenedfile.cfm

　　　/cfdocs/exampleapp/email/getfile.cfm

　　　/cfdocs/exampleapp/publish/admin/addcontent.cfm

　　这些文件，那么入侵者可能能够利用它们读到您系统上的所有文件

建议：将在您Web目录中的openfile.cfm删除或移走

解决方法：将在您Web目录中的openfile.cfm删除或移走

 

类型：攻击型

名字：exprcalc.cfm

风险等级：低

描述：如果在您的Web目录中含有

　　　/cfdocs/expeval/exprcalc.cfm

　　　/cfdocs/expeval/sendmail.cfm

　　　/cfdocs/expeval/eval.cfm

　　　/cfdocs/expeval/openfile.cfm

　　　/cfdocs/expeval/displayopenedfile.cfm

　　　/cfdocs/exampleapp/email/getfile.cfm

　　　/cfdocs/exampleapp/publish/admin/addcontent.cfm

　　这些文件，那么入侵者可能能够利用它们读到您系统上的所有文件

建议：将在您Web目录中的exprcalc.cfm删除或移走

解决方法：将在您Web目录中的exprcalc.cfm删除或移走

相关连接：http://www.hacker.com.cn/handlers/index.cfm?ID=8727&Method=Full

 

类型：攻击型

名字：displayopenedfile.cfm

风险等级：低

描述：如果在您的Web目录中含有

　　　/cfdocs/expeval/exprcalc.cfm

　　　/cfdocs/expeval/sendmail.cfm

　　　/cfdocs/expeval/eval.cfm

　　　/cfdocs/expeval/openfile.cfm

　　　/cfdocs/expeval/displayopenedfile.cfm

　　　/cfdocs/exampleapp/email/getfile.cfm

　　　/cfdocs/exampleapp/publish/admin/addcontent.cfm

　　这些文件，那么入侵者可能能够利用它们读到您系统上的所有文件

建议：将在您Web目录中的displayopenedfile.cfm删除或移走

解决方法：将在您Web目录中的displayopenedfile.cfm删除或移走

 

类型：攻击型

名字：sendmail.cfm

风险等级：中

描述：将在您Web目录中的openfile.cfm删除或移走

　　　在多个WebServer中带有的Whois.cgi存在溢出漏洞。它们包括：

　　　WhoisInternicLookup-version:1.02

　　　CCWhois-Version:1.0

　　　Matt'sWhois-Version:1

　　　他们将使入侵者

　　　能够在您的系统上使用启动httpd用户的权限执行任意的代码

　　　如果在您的Web目录中含有

　　　/cfdocs/expeval/exprcalc.cfm

　　　/cfdocs/expeval/sendmail.cfm

　　　/cfdocs/expeval/eval.cfm

　　　/cfdocs/expeval/openfile.cfm

　　　/cfdocs/expeval/displayopenedfile.cfm

　　　/cfdocs/exampleapp/email/getfile.cfm

　　　/cfdocs/exampleapp/publish/admin/addcontent.cfm

　　这些文件，那么入侵者可能能够利用它们读到您系统上的所有文件

建议：将在您Web目录中的sendmail.cfm删除或移走

解决方法：将在您Web目录中的sendmail.cfm删除或移走

 

类型：攻击型

名字：codebrws.asp

风险等级：中

描述：如果您使用NT+IIS作为您的WebServer的情况下，入侵者能够利用

　　　这个ASP查看您系统上所有启动httpd用户有权限阅读的文件请前往

　　　以下地址查询补丁InternetInformationServer:

　　　ftp://ftp.*******.com/bussys/iis/iis-public/fixes/usa/

　　　Viewcode-fix/

　　　SiteServer:

　　　ftp://ftp.*******.com/bussys/sitesrv/sitesrv-public/fixes/

　　　usa/siteserver3/hotfixes-postsp2/Viewcode-fix/

　　　http://www.hacker.com.cn/security/products/iis/checklist.asp

建议：将在您Web目录中的codebrws.asp删除或移走

解决方法：将在您Web目录中的codebrws.asp删除或移走

 

类型：信息型

名字：codebrws.asp_1

风险等级：中

描述：在/iissamples/exair/howitworks/下面存在codebrws.asp文件，

　　　用下面的路径：

　　　http://www.hacker.com.cn/iissamples/exair/howitworks/codebrws.asp?

　　　source=/index.asp就可以查看到index.asp的源码。实际上任何

　　　ascii文件都可以浏览。

建议：删除名叫/iissamples/的web目录

解决方法：将在您Web目录中的codebrws.asp删除或移走

请前往以下地址查询补丁

InternetInformationServer:

ftp://ftp.*******.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/

SiteServer:

ftp://ftp.*******.com/bussys/sitesrv/sitesrv-public/fixes/usa/

siteserver3/hotfixes-postsp2/Viewcode-fix/

http://www.hacker.com.cn/security/products/iis/checklist.asp

相关连接：ftp://ftp.*******.com/bussys/iis/iis-public/fixes/

usa/Viewcode-fix/

 

类型：攻击型

名字：showcode.asp_1

风险等级：中

描述：在/msads/Samples/SELECTOR/目录下存在showcode.asp文件,用下

　　　面的路径:

http://www.hacker.com.cn/msadc/Samples/SELECTOR/showcode.asp?source=/

msadc/Samples/../../../../../boot.ini

 

　　可以查到boot.ini文件的内容;实际上入侵者能够利用这个ASP查看您