久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线

Discuz! 官方交流社區

標題: 3.4 版本似乎存在漏洞 [打印本頁]
作者: zhansh    時間: 2022-1-23 18:45
標題: 3.4 版本似乎存在漏洞
本帖最后由 zhansh 于 2022-1-23 18:47 編輯

<?PHP exit;?>        UCenterAdministrator        ...        login        error: user=UCenterAdministrator; password=aa***6
<?PHP exit;?>        UCenterAdministrator        ...      app_add        appid=2; appname=a
<?PHP exit;?>        UCenterAdministrator        ...      app_delete        appid=2

程序沒修改過,都是 3.4 原版 20211231 最新的程序UC密碼也不是上面那個密碼,但是被添加應用,日志如上,是什么問題呢?
難道 UC 可以存在兩個登錄密碼嗎?


作者: 老周部落    時間: 2022-1-23 19:53
密碼不對是添加不了的,另外添加應用的開關默認是關閉的,感覺還是密碼被爆破了。
作者: 老周部落    時間: 2022-1-23 19:57
另外這個第一條日志是密碼錯誤,估計不停嘗試之后攻擊者嘗試到了正確的密碼。
作者: zhansh    時間: 2022-1-23 20:42
老周部落 發表于 2022-1-23 19:57
另外這個第一條日志是密碼錯誤,估計不停嘗試之后攻擊者嘗試到了正確的密碼。 ...

老周講的對,沒有 login succeed 的記錄,但是應用確有被添加和刪除的記錄,另外密碼很復雜,爆破是不可能的,其他還植入了一些文件的,我的程序沒改過是最新版,所以我覺得 UC 還是有漏洞。
作者: 老周部落    時間: 2022-1-23 20:48
zhansh 發表于 2022-1-23 20:42
老周講的對,沒有 login succeed 的記錄,但是應用確有被添加和刪除的記錄,另外密碼很復雜,爆破是不可 ...

如果您確定不是第三方插件引入或者之前攻擊沒清理干凈的話,請上傳 Web Server 、 PHP 、Discuz! 以及 UCenter 自身日志并設置 255 權限,我找人去看。
作者: 老周部落    時間: 2022-1-23 20:55
zhansh 發表于 2022-1-23 20:42
老周講的對,沒有 login succeed 的記錄,但是應用確有被添加和刪除的記錄,另外密碼很復雜,爆破是不可 ...

另外問一下網站之前有沒有被日過,日過只有有沒有完整清理網站完了重裝服務器再上線?
作者: zhansh    時間: 2022-1-23 21:59
老周部落 發表于 2022-1-23 20:48
如果您確定不是第三方插件引入或者之前攻擊沒清理干凈的話,請上傳 Web Server 、 PHP 、Discuz! 以及 UC ...

整理了下WEB日志及活動見附件,UC的就是上面那些,別的日志都正常的
作者: zhansh    時間: 2022-1-23 22:00
老周部落 發表于 2022-1-23 20:55
另外問一下網站之前有沒有被日過,日過只有有沒有完整清理網站完了重裝服務器再上線? ...

以前也有,但是文件都重新傳過,清理干凈了的,謝謝老周,有空幫分析下,謝謝!
作者: 老周部落    時間: 2022-1-24 08:03
zhansh 發表于 2022-1-23 21:59
整理了下WEB日志及活動見附件,UC的就是上面那些,別的日志都正常的

收到,我找人去下載,可能時間略長,您耐心等待。
作者: 老周部落    時間: 2022-1-24 18:30
zhansh 發表于 2022-1-23 22:00
以前也有,但是文件都重新傳過,清理干凈了的,謝謝老周,有空幫分析下,謝謝! ...

您好,幫您核實完了。主要是懷疑 uc_server/data/config.inc.php 的 UC_KEY 以及應用的 UC_KEY 已被黑客知曉導致的。
建議您重新生成新的 KEY 替換。
作者: zhansh    時間: 2022-1-24 21:47
老周部落 發表于 2022-1-24 18:30
您好,幫您核實完了。主要是懷疑 uc_server/data/config.inc.php 的 UC_KEY 以及應用的 UC_KEY 已被黑客 ...

謝謝老周朋友,UCKEY 到底怎么改呢,網上有的地方說的是改通信秘鑰,有的是 UCKEY,發現之前新裝的測試論壇,里面的 define('UC_KEY' 后面字串本身就不一樣
F:\WebSite\WWWroot\DZ34\config\config_ucenter.php
F:\WebSite\WWWroot\DZ34\uc_server\data\config.inc.php
作者: 老周部落    時間: 2022-1-24 22:10
zhansh 發表于 2022-1-24 21:47
謝謝老周朋友,UCKEY 到底怎么改呢,網上有的地方說的是改通信秘鑰,有的是 UCKEY,發現之前新裝的測試論 ...

config.inc.php 的是 UCenter 登錄的,這個是單獨一個。
config_ucenter.php 和 UCenter 應用里面的是 UC 和 DZ 相互通信的,兩邊改成一樣的。
作者: zhansh    時間: 2022-1-24 22:17
老周部落 發表于 2022-1-24 22:10
config.inc.php 的是 UCenter 登錄的,這個是單獨一個。
config_ucenter.php 和 UCenter 應用里面的是 UC ...

明白了,多謝老大,后續觀察看看效果,特別的感謝!
作者: 羅永浩    時間: 2022-1-26 02:58
老周部落 發表于 2022-1-24 18:30
您好,幫您核實完了。主要是懷疑 uc_server/data/config.inc.php 的 UC_KEY 以及應用的 UC_KEY 已被黑客 ...

關鍵攻擊者怎么知曉的
作者: 老周部落    時間: 2022-1-26 07:38
羅永浩 發表于 2022年1月26日 中國標準時間 上午2:58:04

您好,幫您核實完了。主要是懷疑 uc_server/data/config.inc.php 的 UC_KEY 以及應用的 UC_KEY 已被黑客 ...
關鍵攻擊者怎么知曉的

根據樓主反饋說之前被打穿過,那自然之前打網站的攻擊者可能會記錄這些東西。
作者: zhansh    時間: 2022-1-31 12:40
本帖最后由 zhansh 于 2022-1-31 12:41 編輯
老周部落 發表于 2022-1-26 07:38
根據樓主反饋說之前被打穿過,那自然之前打網站的攻擊者可能會記錄這些東西。 ...

老周朋友及管理員朋友新年快樂,有空再幫看一下,在附件里有說明,謝謝!

真想宰了哪些雜碎垃圾!
作者: 老周部落    時間: 2022-1-31 13:52
zhansh 發表于 2022-1-31 12:40
老周朋友及管理員朋友新年快樂,有空再幫看一下,在附件里有說明,謝謝!

真想宰了哪些雜碎垃圾!

我去找人了,春節期間估計比較慢,敬請諒解。
另外建議排查下網站環境,春節后重裝下服務器之類的,免得服務器已經淪陷了。
作者: 老周部落    時間: 2022-1-31 14:55
zhansh 發表于 2022-1-31 12:40
老周朋友及管理員朋友新年快樂,有空再幫看一下,在附件里有說明,謝謝!

真想宰了哪些雜碎垃圾!

我找到人要到附件了,需要您補充 data\log 以及 uc_server\data\logs 兩個文件夾的全部文件上傳上來。

另外請加強對上述目錄以及 data\attachment 的后門掃描,感覺這些目錄里面是有后門文件的,雖然好像設置禁止訪問之后就被攔截了。
作者: zhansh    時間: 2022-1-31 18:52
本帖最后由 zhansh 于 2022-2-6 14:19 編輯
老周部落 發表于 2022-1-31 14:55
我找到人要到附件了,需要您補充 data\log 以及 uc_server\data\logs 兩個文件夾的全部文件上傳上來。

另 ...

服務器9月壞了重新裝過,也沒亂裝軟件和插件,應該是沒有問題的;attachment 目錄設置的執行權限無,里面就是些附件和圖片沒查到可疑文件。

擔心有些壞種可能也會訪問論壇,所以也不便多說請見諒,給你發消息發不了,現上傳LOG見附件,麻煩老周朋友有空幫再看看,到底是哪里的問題,謝謝!
作者: 老周部落    時間: 2022-2-2 21:42
zhansh 發表于 2022-1-31 18:52
服務器9月壞了重新裝過,也沒亂裝軟件和插件,應該是沒有問題的;attachment 目錄設置的執行權限無,里面 ...

您好,我要的是 全部文件
作者: 老周部落    時間: 2022-2-2 21:45
zhansh 發表于 2022-1-31 18:52
服務器9月壞了重新裝過,也沒亂裝軟件和插件,應該是沒有問題的;attachment 目錄設置的執行權限無,里面 ...

看您也懶的搞,直接給 uc_server/data/logs/201810.php 吧,現在看這個文件有問題。
另外兩個 log 目錄不會訪問,直接做 403 吧。
作者: zhansh    時間: 2022-2-3 11:27
本帖最后由 zhansh 于 2022-2-3 16:55 編輯
老周部落 發表于 2022-2-2 21:45
看您也懶的搞,直接給 uc_server/data/logs/201810.php 吧,現在看這個文件有問題。
另外兩個 log 目錄不 ...

不是懶呀,就是php不是很懂,辛苦老周朋友了,服務上早就沒這個文件了,從早期的備份里好在找到了已上傳,同時更改了下密碼,謝謝!

作者: 老周部落    時間: 2022-2-3 14:15
本帖最后由 老周部落 于 2022-2-3 14:31 編輯
zhansh 發表于 2022-2-3 11:27
不是懶呀,就是php不是很懂,辛苦老周朋友了,服務上早就沒這個文件了,從早期的備份里好在找到了已上傳, ...

看到文件了,這個文件是帶后門的,可以輸出核心數據。
我又仔細比對了一下之前的文件,異常請求的時間和文件生成時間對比一致,但是原版程序是沒有這些接口的,建議再著重排查一下底層環境以及插件,清理完成后再次修改各類 KEY 試試(X3.4 20220131 版本修改 KEY 體驗會好一點,不過現在還在測試)。
另外建議后續跟進版本升級以免黑客通過漏洞再次攻擊網站。
作者: zhansh    時間: 2022-2-3 17:21
本帖最后由 zhansh 于 2022-2-3 17:28 編輯
老周部落 發表于 2022-2-3 14:15
看到文件了,這個文件是帶后門的,可以輸出核心數據。
我又仔細比對了一下之前的文件,異常請求的時間和文 ...

是密碼泄露的原因嗎,但是最近被注入的時候UC登錄里都是失敗的日志,并沒有登錄成功的日志,就是不知道文件是怎么寫上去的。另外除了官方的qq登錄也沒有裝過插件,版本也是最新的1231。這次根據您的建議又改了點東西,但是自己水平太差可能還會存在不到位的地方,后續還得繼續觀察,新版一直也都跟進的,謝謝老周,給您拜年了!
作者: 老周部落    時間: 2022-2-3 18:02
zhansh 發表于 2022-2-3 17:21
是密碼泄露的原因嗎,但是最近被注入的時候UC登錄里都是失敗的日志,并沒有登錄成功的日志,就是不知道文 ...

密碼泄露是有可能的,但是從日志里沒看出來。QQ 登錄太多網站在用了,有漏洞怕不是一片一片完蛋。
感覺還是要排查下環境問題,看您其他帖子說還在用 Server 2003 ,這個版本實在是太老了,不能排除是環境被打穿了導致的。
作者: zhansh    時間: 2022-2-3 19:26
老周部落 發表于 2022-2-3 18:02
密碼泄露是有可能的,但是從日志里沒看出來。QQ 登錄太多網站在用了,有漏洞怕不是一片一片完蛋。
感覺還 ...

密碼已經都改過了,服務器升級麻煩些,我觀察段時間再看看,謝謝謝謝!
作者: 一葦過江    時間: 2022-2-10 14:18
這種情況我也遇到過,后臺有應用添加、刪除的記錄(主要好像還是頭像上傳夾帶了馬)。我現在都把ucenter下的admin和index改 名字,反正平時登錄UCENTER也少。
作者: zhansh    時間: 2022-2-10 20:57
一葦過江 發表于 2022-2-10 14:18
這種情況我也遇到過,后臺有應用添加、刪除的記錄(主要好像還是頭像上傳夾帶了馬)。我現在都把ucent ...

很有可能的,謝謝!



歡迎光臨 Discuz! 官方交流社區 (http://www.9999xn.com/) Powered by Discuz! W1.0