前几天朋友找我帮他们看一下网站，说总是被人挂马，删得都不如他们加得快。

拿到他们的网站源码一看，竟然有十几个木马之多，另外在很多文件中还被人留了后门。一顿清理之后又把注入等漏洞全补上了，本以为就没什么事了，但今晚点着玩儿时发现他们后台的新闻发布用的在线编辑器是eWebEditor，觉得不太对劲，就打开eWebEditor的数据库，在eWebEditor_Style表中一些风格的可上传文件类型中被加入了.asp / .asa等，果然，eWebEditor才是对方上传WebShell的入口点……

再反查一下eWebEditor_System表中的用户名密码的MD5值，发现竟然仍在使用默认的用户名密码：admin / admin888 ……

其实eWebEditor本身安全工作就做得很不到位的，又遇上这种使用者，不出事才怪呢。

具体eWebEditor有哪些问题点，我就不具体说了，有兴趣的朋友可以参照一下这篇文章：《当心被黑 慎用eWebEditor在线编辑器》，在此我只简单说一下如何让eWebEditor尽量安全一些吧：

• 首先，当然是数据库的问题，改文件夹名及数据库文件名还是很有必要的。另外，在数据库中加一张防下载的表也值得一试。
• 其次，eWebEditor功能是很强大，但有多少人是经常换风格的呢？几乎都是开发时设定好了，以后就再也不改了。既然这样，为什么还要那么复杂的后台呢？把login.asp 及 admin_*.asp删除，让那些喜欢黑人的小朋友就算知道用户名和密码也用不上，比什么办法都省心 ：D
• 再次，上传类的漏洞还是需要补一下的，过滤asp / asa / aspx / php / jsp / cer / cdx 等扩展名虽然是个办法，但如果没有太多需求，干脆在代码中写死，只允许上传常见的一些图片影音文件及Office文件等，这样一来更安全 ：D ，毕竟代码不是自己写的，找Bug费心，还不如直接来个最省心的——虽然失去了代码的灵活性，但我感觉还是值得的。
• 最后，上传类的文件名及函数名也都相应改一下，会更安全。改个怪名，让别人猜去吧~