---

各位朋友：

首先感謝使用與關注F2blog。

因為近段時間利用僞造IP的方式來攻擊網站的事情發生比較多，在F2blog v1.1 beta 12.11之前的BLOG都有此漏洞，網上現在流行的那段攻擊F2blog的代碼（發布者的代碼沒有危害性，他們善意提出了漏洞的存在和攻擊方式，但萬一被不法分子利用了，可就麻煩大了），在此感謝發現這個重大BUG的朋友、幫助測試的朋友以及提供修正意見的朋友。

以後F2blog的發展離不開您們的支持，請您們如果發現漏洞，非常期待着您能聯系我們，便于修正。以後我們也更加注重此安全問題，也願意與搞安全的網友交個朋友，大家相互學習。

12.11 主要修正網上流行的幾段僞造IP的攻擊代碼。

12.08 主要修正通過申請連接的方式攻擊從而進入後台和通過網址注入參數方式的攻擊。

危害性：嚴重，請大家升級到F2blog v1.1 beta 12.11

被攻擊後的一般特征：
1、通過僞IP攻擊後，如出現網站不能顯示，而以前可以正常的，但現在卻不可以了，請檢查cache/cache_online.php文件，這個


[Copy to clipboard]CODE:
$onlinecache = array(
'ip' => array('','127.0.0.1.',),
'times' => array('1165841074','1165841106',),
);

中的IP地址是否正常IP地址。如果不正常就一定被攻擊過了。不過如果攻擊者手工改了這個文件，那就沒有辦法知道了。

2、如果你開通了申請連接，而申請連接地址不對，或者亂了。請大家馬上檢查你的用戶管理是否增加了一個用戶名稱。（12.08已修正）

3、檢查你的空間的可寫目錄cache（系統緩存文件），backup（數據庫備份目錄），attachments（你日志上傳的文件所在地）是否存在有包含shell的php或者asp文件，cache目錄下面的cache文件可以全部删除，運行首頁的時候，系統會自動建立Cache文件。html下面是靜态頁面生成的文件，也可以删除在後台重建靜态頁面。

目前主要是攻擊官網BLOG以及官網服務器上的BLOG。

如果你有什麼問題，或者有什麼不明白的地方，請聯系harry，joesen。如果需在線幫助的，請晚上6：00以後通過QQ：15519113或者MSN：korsenzhang@hotmail.com聯系harry，聯系時請注明是F2的用戶。

再次感謝大家的關注與支持，也感謝發現此漏洞的朋友。

F2blog開發小組
2006-12-12