可能是最近在参加 CSDN 举行的那个评选，FineUI 论坛吸引了一大批围观群众，也吸引了一些黑客的目光，本文会按时间顺序记录下 FineUI 论坛所遭受的这次网络攻击，期望能对其他站长有所帮助。

发现异常

2013-6-22 08:56

早上起来，像往常一样打开 FineUI 官网论坛（http://fineui.com/bbs/ ）去发现进不去，还以为服务器又受到 DDOS 攻击（因为前两天服务器连续受到攻击，也出现偶尔连不上的情况），就赶紧上 QQ 准备联系服务器管理员，却发现服务器管理员已经给我留言：

还没看完留言就已经头皮发麻，真的是受到攻击了，莫非是最近选票排的靠前被盯上了（后来发现不是这样的），不由得一阵胡思乱想，数据库数据有没有丢失啊….冷静下来，看下那张查出木马的截图：

原来是 php 木马，那这些文件又是如何上传到服务器的呢？

服务器管理员的分析文档
这次要真的感谢服务器管理员 №风影㊣ 和他维护的服务器资源 http:///demo/#/demo/form/fileupload.aspx 上传一个木马 php 文件；

2. 通过此木马获取论坛权限并篡改首页；

3. 将自己设为论坛管理员。

其实我最担心的是他拿到管理员权限后会不会一下子把用户全删掉，或者做其他一些批量操作，这就麻烦了。

后来发现这位黑客没有这么做，仅仅是把自己改成管理员爽了一把，我的心中不由的升气一丝莫名的欣慰，感觉也没那么担心了，因为这是一位：

有道德的黑客：ice

修复被攻击的网站

接下来，我的做法是：

1. 禁止用户 ice 登陆论坛；

2. 修改 FineUI 的官方示例，只允许用户上传图片文件，而不能上传任何其他文件。

新增的限制文件上传的代码如下：

protected readonly static List<string> VALID_FILE_TYPES = new List<string> { "jpg", "bmp", "gif", "jpeg", "png" }; protected static bool ValidateFileType(string fileName) { string fileType = String.Empty; int lastDotIndex = fileName.LastIndexOf("."); if (lastDotIndex >= 0) { fileType = fileName.Substring(lastDotIndex + 1).ToLower(); } if (VALID_FILE_TYPES.Contains(fileType)) { return true; } else { return false; } } protected void btnSubmit_Click(object sender, EventArgs e) { if (filePhoto.HasFile) { string fileName = filePhoto.ShortFileName; if (!ValidateFileType(fileName)) { Alert.Show("无效的文件类型！"); return; } fileName = fileName.Replace(":", "_").Replace(" ", "_").Replace("\\", "_").Replace("/", "_"); fileName = DateTime.Now.Ticks.ToString() + "_" + fileName; filePhoto.SaveAs(Server.MapPath("~/upload/" + fileName)); labResult.Text = "<p>用户名：" + tbxUseraName.Text + "</p>" + "<p>头像：<br /><img src=\"" + ResolveUrl("~/upload/" + fileName) + "\" /></p>"; // 清空表单字段 SimpleForm1.Reset(); } }

我还是大意了！

可能是发现这位 ice 很有善意，我居然忘记修改可能已经被攻破的管理员密码。直到晚上我才发现这回事！

因为 ice 有把自己设为了管理员，并发了一个帖子告诉我“密码是12345”，很遗憾我把这个帖子给删了，要不然贴出来也博大家一笑！

很无奈的用别人告诉我的密码 12345 登陆我自己管理的网站，重新把 ice 的所有资料删除。当时我还不知道 ice 是怎么重新获取管理员权限的，郁闷的一屁！

后来通过 Discuz 的日志，我发现了自己的这个错误：

可以看到如下过程：

1. 早上 10:12，我登陆后将 ice 设为禁止访问；

2. 仅仅过去一个小时 11::16，ice 用我的账号登陆解禁 ice，并将 ice 设为管理员；

3. 我在晚上 22:24，才发现这个问题，并重新删除 ice 的所有资料。

之后，我修改了所有相关密码！

结论

首先是要保证自己的代码没有漏洞，涉及用户输入和用户上传的地方一定要特别注意！

其次是希望每一个黑客都能向 ice 学习，做一个有道德的黑客（自己爽一把没关系，不要破坏别人的数据）！