|
偶见老Y文章官方公告,2.4版用户遭殃
首先说明一下,老Y文章管理系统在中国站长站上下载位列月下载第二,下载人数已经达到14937,昨天偶到官方看了看,一条醒目的公告映入我眼帘,
=========================================================
2.4用户请删除编辑器管理后台目录
时间:2009-6-7 10:55:40 点击:453
默认编辑器是有一个后台管理的,因已经集成到程序后台管理,所以默认的后台可能造成一些安全问题,请删除Editor/Admin目录
=============================================================================
老Y文章管理系统默认用的是ewebeditor 5.5,此前的更新中,也许是老Y头晕了,竟然把编辑器的后台集成到程序后台,而许多站长并不会去改编辑器的默认用户名和密码
所以就造成了安全问题
大家都知道ewebeditor后台拿shell很简单,所以使用老Y系统的人肯定已经遭遇了一场腥风血雨。
那我们到网络上看看如何:
打开我们的google,键入:Powered by laoy8! V2.4
可以搜到一些使用老Y系统的
选定目标:http://www.sky306.cn/
我们在网址后面加上editor/admin
ewebeditor后台就出现在我们面前了,输入默认用户名/密码:admin/admin【不要试了,我改了,呵呵】
然后就是改上传类型,上传shell就行了。
注:我进后台后,发现已经有别人上传的马了,我给删了,并且把默认密码改了,至少不至于被许多人拿着玩,呵呵。 |
|