早上，ilmay发邮件给我，说他博客进不去，要我帮忙，我去看了下，发现页面文件里被加入了iframe恶意木马病毒，应该是被黑了，可能是利用了系统里的某个漏洞。因为他用的是Z-Blog Plus，和我用的自己修改的Z-Blog有点类似，因此我对这个漏洞也比较感兴趣。

　　经过对IIS日志文件的分析，我发现原因是eWebEditor编辑器有重大漏洞。Z-Blog Plus提供了eWebEditor编辑器，却没有说明如何正确使用，并且不做任何修改而直接使用的话，简直就是一场灾难。

　　首先的一个漏洞是eWebEditor提供了后台登录，默认用户名和密码可以登录进去。

　　其次，eWebEditor目录下的Upload.asp文件，有一个极为幼稚的错误，即对于文件过滤只是通过sAllowExt=Replace(UCase(sAllowExt), "ASP", "")来禁止上传asp文件，那么为什么不同时过滤asa、cer等文件呢？而且怎么可以用这种有问题的语句进行过滤呢？事实上，黑客正是利用这个漏洞上传了一个后缀为asa的木马文件。

　　解决这个问题的方法是，先用admin登录到后台，修改密码，然后删除admin_login.asp文件，如果不需要上传的话，最好连upload.asp也一起删除掉。另外我看了看eWebEditor的代码，感觉写的比较乱，可能还会有其他漏洞，不建议使用这个编辑器。

　　对于Z-Blog的安全，我觉得，应该尽量少地增加一些编辑器或其他插件，关闭用户注册功能，关闭附加编辑器的上传功能，不要使用一些有安全漏洞的编辑器，这样才可以保证系统的安全性。

　　另外要少在页面里添加外部的script代码，特别是统计代码。我就曾经为了统计浏览数而增加了一个名叫武林榜（50bang）的统计代码，曾经发现偶尔会出现病毒，也有用户举报，以前总以为是不是武林榜服务器被黑客攻击，后来才知道原来武林榜和周鸿袆、庞升东等搞过9991这样声名狼藉的木马病毒的人有着密切的关系，因此我以最快的速度将武林榜的代码从我所有网页里删除，防止其再去害人。

　　在当今之中国，网民是命中注定要被那些做网站的老流氓们强奸，即使高手也会防不胜防。