山西省卫生厅：从一个弱口令到整个服务器

一个弱口令，导致服务器悲剧。

http://www.sxswst.gov.cn/luntan/

管理员账号密码默认admin admin888

dvbbs8.2.0后台get shell方法百度之

ashx写aspx一句话连接

得到asp或者aspx的马，尤其aspx的马权限比较大，全盘浏览毫无压力

另发现竟然是库站分离，而且数据库服务器有至少两台

web服务器上也装了mssql和oracle

后来发现这服务器上竟然不止这一个网站，有好多。

修复方案：

额，除了弱口令之外...是不是权限方面也严格控制一下...

摘自：http://www.wooyun.org/bugs/wooyun-2010-010257