先说句题外话，看情形关注我站的朋友还真不少，15日刚出新漏洞公告，16日就发现本站注册***.asp用户名的朋友就多达30多位，在本站的服务器内也发现了两个木马文件，在此新年之际希望大家把心思用在维护网络安全和多为广大网民服务上，而不是把别人告知的漏洞加以利用危害网络，你要知道这不是你的能力表现，如果执迷不悟你的下场可能和熊猫烧香的作者一样，受到国家法律的严厉制裁。想研究黑客技术的朋友希望你们首先去了解什么叫做黑客精神

漏洞编号：PEAS20070215

危害程度：极严重。黑客可以通过此漏洞取得WebShell权限。

影响版本：动易2006 所有版本（包括免费版、商业SQL版及Access版），正式版、SP1、SP2、SP3、SP4、SP5都受此影响。

漏洞描述：因为Win2003存在着一个文件解析路径的漏洞，当文件夹名为类似hack.asp的时候（即文件夹名看起来像一个ASP文件的文件名），此时此文件夹下的文本类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件，通过访问这个文件即可运行木马。因为微软尚未发布这个漏洞的补丁，所以几乎所有网站都会存在这个漏洞。

动易2006中的部分功能因为设计时没有考虑到这种攻击方式，致使黑客可以绕过上传文件时的扩展名检查，上传正常扩展名的木马文件，以得到WebShell权限。具有高级权限的后台管理员也可以利用此漏洞得到WebShell权限。

郑重声明：在了解了此漏洞后，请勿攻击他人！否则你将可能会受到法律的惩罚！

临时解决方法：删除Space文件夹（临时），删除User/User_Space.asp文件。

补丁文件：暂无

友情提示：请站长检查除动易系统外的全部系统，凡有用户可自主命名文件夹权限的功能，在微软公司的补丁出现之前，建议全部关闭，以免造成更大的损失。

小经验：

扩展名为jpg/gif的木马检查方法：

在资源管理器中使用详细资料方式，按类别查看。点“查看”菜单－－“选择详细信息”－－勾选上“尺寸”，确定。此时，正常的图片文件会显示出图片的尺寸大小，没有没有显示，则99%可以肯定是木马文件。用记事本程序打开即可100%确定。

附1：真正的黑客精神

    1、这世上充满著等著被解决的迷人问题。

    2、发现问题要提醒告诉大家，甚至帮助解决问题

    3、没有任何人必须一再的解决同一个问题。

    4、无聊而单调的工作是有害的。

    5、自由才好。

    6、态度并非不等效于能力。

附2：致所有黑客的公开信（转自网易）

    如果是真正的黑客，你们一定会知道

    1.发明TCP/IP的是美国人 .

    2. LINUX的作者，linus大侠现在也在美国工作 .

    3. OPEN SOURCE的开创人 STALLMAN 也是美国人，他提倡软件不分国界的自由的精神 .

    4. FREE BSD 的作者是美国人，他的SOURCE 让真正的黑客受惠

    5.世界级软件科学大师 tanabaom，也是美国的客座教授，他的minix，ameba和教材教育了全世界几代优秀的黑客。提到这些，我不是崇美，不是恐美，只想证明：

   1.很多大师级的美国黑客，他们的理念恰恰是自由、开放、无国界；他们的自由软件，开放源码，是与政治无关的，更不会用他们进行敲诈勒索，它是超越国界的，给全世界人们带来福音。

    2.真正的黑客精神，是要让人类超越计算机，成为计算机的主宰，从而成为自由的。

    所有的黑客同胞们：

    当你们正通过下载外国人或自己人写的黑客工具，来攻击我们自己国家优秀商业网站并乐此不疲时，你们是否想过：

    此时此刻，印度的软件人士，正在努力提高软件技术，他们的软件水平、软件产业已经超越了中国；难道我们不应该痛苦地承认这个现实，并且奋起直追吗？中国发明了火药，但是缺少研究精神，结果是被西方人研究改进了以后打中国，这样的教训还少吗？中国向来不缺爱国热情，但是我们缺少对科技的认真研究精神，知耻而后勇的追赶精神。难道我们不愿意承认这一点吗？从战术上来说，过早暴露自己的实力是不聪明的；冒昧地问一句，如果真的战争爆发了，您的黑客技术完全掌握好了吗，您已经为那一天的到来在进行技术储备吗？

    您有没有想向那些真正为中国科技做出杰出贡献的科学家如钱学森学习呢？

    所有黑客同胞们：

    请把你们的聪明才智用到真正提高你们的水平，对国家的强大有帮助的地方吧：

    如果您愿意对国家有所贡献：

    1.中国的863计划中有一个重点研究项目： 并行计算，分布计算，向量计算。您愿意研究它吗？

    2. 作为现代通讯技术的一个根本数学基础，大合数的快速因子分解，还是一个难题。您愿意研究它吗？

    如果您想提高技术，对中国的软件技术有所贡献：

    1.研究 VC，JAVA

    2.研究数据结构，去考高级程序员

    3. 研究操作系统，读minix source code

    4. 研究tcp/ip， rfc文档

    5. 通读linux， 才算达到黑客境界

    6. 学习 UML，ROSE，软件工程，达到系统分析员水平。

    如果您对提高中国的科技有兴趣，去研究生物基因，材料技术（纳米技术），计算机技术，航天技术……

    我的黑客同胞们：

    一个真正的民族主义者，不是义和团，不是太平天国，不是闭关锁国，不是盲目仇外，不是不敢正视自己民族和文化的丑陋和缺点。真正的民族主义者是成熟的、清醒的、理智的、无私的、务实的民族主义。真正的民族主义者不是极端份子，不是破坏者。

    真正的民族主义者以追求本民族——中华民族的利益最大化为目标、准则、信念。判断一个人是不是真正的民族主义者，判断标准很简单：看他是给本民族的整体利益带来好处，还是损害民族利益。真正的民族主义者最务实，因为他知道坚持原则，同时又懂得策略。

    让我们成为真正的顶尖黑客！让我们成为真正的民族主义者！要知道你是应该是正义的！