开启左侧

[DZ挂马] 强化论坛用户组权限,合理关闭Discuz!论坛flash标签用户权限防论坛挂马

[复制链接]
当流科技 发表于 2017-9-18 16:40:21 | 显示全部楼层 |阅读模式
阿里云主机折扣码

本站会员必须 邮箱验证成功后 才能发帖。马上注册查阅更多教程,下载海量资源,让你轻松玩做站

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

discuz!挂马

discuz!挂马


在Discuz!系统的论坛中,用户在发帖时可以通过[flash]标签,直接在帖子内嵌入来自任意网站的flash文件,这些flash文件在其他用户浏览对应的主题、帖子时,都是自动播放的,这一漏洞就给了攻击者非常便利,甚至非常定制化的攻击途径:攻击者只要将挂马的Flash文件直接嵌入论坛帖子中,等待贴主或任意访问论坛的用户打开帖子,攻击者就可以完全控制他们的电脑。

这一攻击形式相当灵活,对论坛进行挂马的攻击者既可以通过回帖到热门主题的方式,给论坛中的大量用户集中挂马,也可以针对对特定主题、特定内容、特定发帖人的帖子感兴趣的人做小范围“精准打击”,在不引起大部分人注意的前提下,对这些用户进行挂马,例如我们看到在腾讯穿越火线论坛的挂马案例中,有用户发帖称意外获得了礼包,紧接着就有挂马者随即跟进,在他的帖子下面挂马,使得贴主和其他围观群众被flash木马攻击。

Discuz!论坛针对自动播放的[flash]标签是默认关闭的,而这些受影响的管理员,则不约而同地开启了这个标签的功能,导致了这个标签,从而导致论坛被挂马。我们发现在这一设置上,论坛管理员似乎相当随性。
所以当流科技建议,非必要版块请关闭flash功能,如开启flash功能,请严格把控会员组权限。具体操作方法如下:

一、关闭discuz! flash标签方法

1、登录discuz论坛后台-论坛-找到论坛版块-编辑这个版块-找到帖子选项-允许使用多媒体代码: 选择 否

如图:



f.jpg


二、单独设置用户组权限

1、登录discuz论坛后台-论坛-用户用户组-会员用户组-找到要编辑的组

h.jpg

2、论坛相关-帖子相关-允许使用 [audio] [media] [flash] 等多媒体代码: 选择否




t.jpg
当流科技-专业Discuz建站、仿站业务,专注处理discuz!论坛挂马,专注提供论坛托管维护服务! 提供Discuz论坛空间、VPS、云服务器!咨询QQ 569160956 778521512
回复

使用道具 举报

菜小白 发表于 2017-10-3 18:43:34 来自当流科技手机版 | 显示全部楼层
直接给flash权限给禁掉
当流科技-专业Discuz建站、仿站业务,专注处理discuz!论坛挂马,专注提供论坛托管维护服务! 提供Discuz论坛空间、VPS、云服务器!咨询QQ 569160956 778521512
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩课程推荐

抱歉,当前存在网络问题或服务器繁忙,详细错

主讲:我心枫叶 Discuz!教程

Discuz!论坛网盘附件免跳转下载(手机版网

主讲:当流科技 Discuz插件

discuz论坛搬家教程,如何搬迁到新服务器?

主讲:风雨兼程 Discuz!教程

Discuz!X3.3全新安装和升级后快速回复框丢

主讲:风雨兼程 Discuz!教程

宝塔面板phpmyadmin 数据库502 Bad Gateway

主讲:当流科技 服务器学院

宝塔面板绑定域名无法访问后台怎么解决?

主讲:风雨兼程 服务器学院

QQ互联无法使用临时解决方法!

主讲:2481469838 Discuz!教程

discuz!迪恩理财&企业风格模板免费下载

主讲:我心枫叶 Discuz模板

商务合作

0551-66191059
service#dangliu.net
点击这里给我发消息
dz论坛/Discuz!论坛新手

关注微信公众号

QQ扫码 加 DZ技术群