WooYun.org

修复漏洞：1、请严格分配网站管理和各个后台用户的密码，经过我的发现，许多后台用户都是用户名密码相同，需要全部更改密码！！！这一点很重要。
2、网站内的上传内容限制，网站后台的某些上传处由于过滤不严格导致任何文能够成功上传，包括aspx等脚本文件，所以请重新研究后台架构
3、mysql密码不及时更改，导致用户数据库可下载，当黑客拿到webshell之后，经过查看老版本的dz论坛里的某些文件，可以看到很多mysql的密码和帐号，经过我的测试，顺利连接内外另一台服务器拿到用户87万数据！！所以请要么更改密码，要么禁用掉mysql老的数据库，以免造成严重损失！！
4、网站权限的问题，由于权限的大小问题，导致其余的分站全部沦陷，可以考虑更改目录用户为普通用户，限制允许访问哪些目录和不允许访问哪些目录！！再利用sudo分配适当权限。
5、网站维护不过关！经过我的发现，我上传木马是在几天前，而当我今天访问木马时，任然存在，可以发现维护的力度不够，请加强，请养成天天翻阅日志的习惯！！！
给出的修复方案请思考后在进行相关方案修复！
以上的webshell地址和87万用户数据未泄漏给任何人任何组织，用户数据库也只是零时，请放心。