近日网上看到越来越多的站长报告说自己的论坛被人放了 Webshell 甚至挂马,起初没在意,但令我诧异的是,今天我在本机的dz的根目录也发现了一个Webshell,接着检查了一下,乃至 discuz.net 也中招了!
由此可见,这个可能存在的漏洞造成的危害是极其严重的,通过利用在服务器中生成的 Webshell,黑客可以用它来挂马、修改数据乃至清空整个论坛数据! 请每个看到这个帖子的站长立即检查论坛下面有没有以下文件,如果有,请立即删除!
./usergroup_0.PHP
./forumdata/cache/usergroup_0.PHP
除此之外,如果发现论坛有字体变大等现象,请进入后台 风格管理 的高级模式,检查有没有异常的 自定义模板变量,有则删除之并更新论坛缓存!
如果发现了上述恶意文件,请删除后检查论坛模板,查看是否被人挂马等. 删除文件后,请密切关注这些异常文件是否会再次出现.
官方已在下载服务器上发布补丁,请下载安装.
下面发布一个我写的扫描程序,它可以扫描出论坛中 usergroup_*.PHP、style_*.PHP 等缓存文件是否有 Webshell,附件目录是否存在 PHP/asp 文件,模板中是否有外链存在 (有外链则表示有可能被挂马),以及 stylevars 表中的非法数据.
这个程序不会改动任何论坛数据,只对目前存在的问题做出建议,不会对论坛产生任何影响.
扫描结果可能存在误差,请进行任何改动前都要备份文件!
使用完毕后请删除此程序文件,最好再在这里回个帖子帮顶一下.
提示:
如果扫描程序提示需要到后台执行一段sql代码的话,请一定要根据提示操作! 如果有这个提示出现,我相信您的站点必定出现过字体变大的奇怪现象! 只是当初很多人没有意识到这个问题的严重性! 执行sql后请更新论坛的缓存,如果您关闭了该风格,可以再次开启它.
使用 PHP4 的站长请重新下载程序.
更新:
1. 增加扫描附件目录中是否有 PHP/asp 文件
2. 增加安全外链忽略功能 (可编辑 $safeurls 增加)
3. 扫描结束后如果没有发现任何危险代码做出安全显示
4. 由于 PHP4 不支持 DOM,PHP5 以下版本自动关闭扫描模板功能
程序使用的是DOM来扫描htm文件,检测 之间的内容是否有外链,所以,这程序除了检测这次的Webshell之外,平时下载插件或者风格后在安装之前也可以扫一下下载的东西安不安全.
1. 资源都是经过站长或作者收集测试修改后发布分享。如若转载请在文内以超链形式注明狐狸库文章出处,谢谢合作!
2. 本站除原创内容,其余所有内容均收集自互联网,仅限用于学习和研究目的,本站不对其内容的合法性承担任何责任。如有版权内容,请通知我们或作者删除,其版权均归原作者所有,本站虽力求保存原有版权信息,但因众多资源经多次转载,已无法确定其真实来源,或已将原有信息丢失,所以敬请原作者谅解!
3. 本站用户所发布的一切资源内容不代表本站立场,并不代表本站赞同其观点和对其真实性负责,若您对本站所载资源作品版权归属存有异议,请留言附说明联系邮箱,我们将在第一时间予以处理 ,同时向您表示歉意!为尊重作者版权,请购买原版作品,支持您喜欢的作者,谢谢!
4. 本站一律禁止以任何方式发布或转载任何违法的相关信息,访客如有发现请立即向站长举报;本站资源文件大多存储在云盘,如发现链接或图片失效,请联系作者或站长及时更新。
![WordPress子比主题美化教程合集[2023/04/17]-狐狸库](https://huliku.com/pic/2023032607024935.png)
![狐狸库自定义子比主题底部footer页脚美化(自适应)[06.26]更新-狐狸库](https://img.huliku.com/pic/2023062610013835.png)
请登录后查看评论内容