微軟dvwssr.dll后門
 

涉及程序： 
MS IIS server/Frontpage Ext Server 
描述 
微軟開發(fā)的兩個動態(tài)庫存在后門允許用戶查看ASP文件源程序和下載整個網(wǎng)站 
詳細(xì) 
隨IIS和Frontpage Extention server而來的動態(tài)庫程序，存在后門，允許用戶遠(yuǎn)程讀取 
asp、asa和CGI程序的源代碼。但這個動態(tài)庫要求有密碼，這個后門的密碼是： "Netsc 
ape engineers are weenies!" 
程序路徑為： /_vti_bin/_vti_aut/dvwssr.dll 
一般安裝了 Frontpage98的 IIS服務(wù)器都有這個路徑和文件。 
這個程序要求解碼后才能發(fā)揮讀取asp等源程序的功能，有趣的是，這個密碼正是嘲弄其 
競爭對手Netscape的。 
我們提供一個有該漏洞的國外網(wǎng)站給安全技術(shù)人員參考： 
http://62.236.90.195 
其網(wǎng)站上有一個ASP程序 : http://62.236.90.195/cqsdoc/showcode.asp 
關(guān)于讀取源程序，請下載這個測試程序，用法為: 
[john@Linux john]$ ./dvwssr1.pl 62.236.90.195 /cqsdoc/showcode.asp 
國內(nèi)有很多網(wǎng)站都有這個漏洞，請管理員盡快更正! 
另外, dvwssr.dll還存在緩沖溢出，容易被DOS攻擊，對于這個緩沖溢出的漏洞，可能能 
利用遠(yuǎn)程執(zhí)行指令，但目前沒有可用的exploit出來。 
有一個DOS的腳本： 
#!/usr/bin/perl 
print "GET /_vti_bin/_vti_aut/dvwssr.dll?"; 
print "a" x 5000; 
print " HTTP/1.1\nHost: yourhost\n\n"; 
另注：對該漏洞的說法，發(fā)現(xiàn)者、bugtraq和微軟都有不同的版本 
微軟不認(rèn)為這是后門，但有咬文嚼字之嫌。 
參見： 
http://www.microsoft.com/technet/security/bulletin/fq00-025.asp 
這個漏洞的實質(zhì)是一個字符串，就是我們前面提到的 "Netscape engineers are weeni 
es!" 
只要知道這個字符串，和了解相關(guān)的算法，就可以獲得ASP等程序的源碼。 
我們已經(jīng)做了大量測試，證實的確有效。 
解決方案 
刪除 dvwssr.dll 
安裝 Office 2000 Server Exten