久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线

Discuz! 官方交流社區(qū)

標(biāo)題: 3.4 版本似乎存在漏洞 [打印本頁]

作者: zhansh 時間: 2022-1-23 18:45
標(biāo)題: 3.4 版本似乎存在漏洞
本帖最后由 zhansh 于 2022-1-23 18:47 編輯

<?PHP exit;?>       UCenterAdministrator       ...       login       error: user=UCenterAdministrator; password=aa***6
<?PHP exit;?>       UCenterAdministrator       ...    app_add       appid=2; appname=a
<?PHP exit;?>       UCenterAdministrator       ...    app_delete       appid=2

程序沒修改過，都是 3.4 原版 20211231 最新的程序UC密碼也不是上面那個密碼，但是被添加應(yīng)用，日志如上，是什么問題呢？
難道 UC 可以存在兩個登錄密碼嗎？

作者: 老周部落 時間: 2022-1-23 19:53
密碼不對是添加不了的，另外添加應(yīng)用的開關(guān)默認(rèn)是關(guān)閉的，感覺還是密碼被爆破了。

作者: 老周部落 時間: 2022-1-23 19:57
另外這個第一條日志是密碼錯誤，估計不停嘗試之后攻擊者嘗試到了正確的密碼。

作者: zhansh 時間: 2022-1-23 20:42

老周部落發(fā)表于 2022-1-23 19:57
另外這個第一條日志是密碼錯誤，估計不停嘗試之后攻擊者嘗試到了正確的密碼。 ...

老周講的對，沒有 login succeed 的記錄，但是應(yīng)用確有被添加和刪除的記錄，另外密碼很復(fù)雜，爆破是不可能的，其他還植入了一些文件的，我的程序沒改過是最新版，所以我覺得 UC 還是有漏洞。

作者: 老周部落 時間: 2022-1-23 20:48

zhansh 發(fā)表于 2022-1-23 20:42
老周講的對，沒有 login succeed 的記錄，但是應(yīng)用確有被添加和刪除的記錄，另外密碼很復(fù)雜，爆破是不可 ...

如果您確定不是第三方插件引入或者之前攻擊沒清理干凈的話，請上傳 Web Server 、 PHP 、Discuz! 以及 UCenter 自身日志并設(shè)置 255 權(quán)限，我找人去看。

作者: 老周部落 時間: 2022-1-23 20:55

zhansh 發(fā)表于 2022-1-23 20:42
老周講的對，沒有 login succeed 的記錄，但是應(yīng)用確有被添加和刪除的記錄，另外密碼很復(fù)雜，爆破是不可 ...

另外問一下網(wǎng)站之前有沒有被日過，日過只有有沒有完整清理網(wǎng)站完了重裝服務(wù)器再上線？

作者: zhansh 時間: 2022-1-23 21:59

老周部落發(fā)表于 2022-1-23 20:48
如果您確定不是第三方插件引入或者之前攻擊沒清理干凈的話，請上傳 Web Server 、 PHP 、Discuz! 以及 UC ...

整理了下WEB日志及活動見附件，UC的就是上面那些，別的日志都正常的

作者: zhansh 時間: 2022-1-23 22:00

老周部落發(fā)表于 2022-1-23 20:55
另外問一下網(wǎng)站之前有沒有被日過，日過只有有沒有完整清理網(wǎng)站完了重裝服務(wù)器再上線？ ...

以前也有，但是文件都重新傳過，清理干凈了的，謝謝老周，有空幫分析下，謝謝！

作者: 老周部落 時間: 2022-1-24 08:03

zhansh 發(fā)表于 2022-1-23 21:59
整理了下WEB日志及活動見附件，UC的就是上面那些，別的日志都正常的

收到，我找人去下載，可能時間略長，您耐心等待。

作者: 老周部落 時間: 2022-1-24 18:30

zhansh 發(fā)表于 2022-1-23 22:00
以前也有，但是文件都重新傳過，清理干凈了的，謝謝老周，有空幫分析下，謝謝！ ...

您好，幫您核實完了。主要是懷疑 uc_server/data/config.inc.php 的 UC_KEY 以及應(yīng)用的 UC_KEY 已被黑客知曉導(dǎo)致的。
建議您重新生成新的 KEY 替換。

作者: zhansh 時間: 2022-1-24 21:47

老周部落發(fā)表于 2022-1-24 18:30
您好，幫您核實完了。主要是懷疑 uc_server/data/config.inc.php 的 UC_KEY 以及應(yīng)用的 UC_KEY 已被黑客 ...

謝謝老周朋友，UCKEY 到底怎么改呢，網(wǎng)上有的地方說的是改通信秘鑰，有的是 UCKEY，發(fā)現(xiàn)之前新裝的測試論壇，里面的 define('UC_KEY' 后面字串本身就不一樣
F:\WebSite\WWWroot\DZ34\config\config_ucenter.php
F:\WebSite\WWWroot\DZ34\uc_server\data\config.inc.php

作者: 老周部落 時間: 2022-1-24 22:10

zhansh 發(fā)表于 2022-1-24 21:47
謝謝老周朋友，UCKEY 到底怎么改呢，網(wǎng)上有的地方說的是改通信秘鑰，有的是 UCKEY，發(fā)現(xiàn)之前新裝的測試論 ...

config.inc.php 的是 UCenter 登錄的，這個是單獨(dú)一個。
config_ucenter.php 和 UCenter 應(yīng)用里面的是 UC 和 DZ 相互通信的，兩邊改成一樣的。

作者: zhansh 時間: 2022-1-24 22:17

老周部落發(fā)表于 2022-1-24 22:10
config.inc.php 的是 UCenter 登錄的，這個是單獨(dú)一個。
config_ucenter.php 和 UCenter 應(yīng)用里面的是 UC ...

明白了，多謝老大，后續(xù)觀察看看效果，特別的感謝！

作者: 羅永浩 時間: 2022-1-26 02:58

老周部落發(fā)表于 2022-1-24 18:30
您好，幫您核實完了。主要是懷疑 uc_server/data/config.inc.php 的 UC_KEY 以及應(yīng)用的 UC_KEY 已被黑客 ...

關(guān)鍵攻擊者怎么知曉的

作者: 老周部落 時間: 2022-1-26 07:38

羅永浩發(fā)表于 2022年1月26日中國標(biāo)準(zhǔn)時間上午2:58:04

您好，幫您核實完了。主要是懷疑 uc_server/data/config.inc.php 的 UC_KEY 以及應(yīng)用的 UC_KEY 已被黑客 ...
關(guān)鍵攻擊者怎么知曉的

根據(jù)樓主反饋說之前被打穿過，那自然之前打網(wǎng)站的攻擊者可能會記錄這些東西。

作者: zhansh 時間: 2022-1-31 12:40
本帖最后由 zhansh 于 2022-1-31 12:41 編輯

老周部落發(fā)表于 2022-1-26 07:38
根據(jù)樓主反饋說之前被打穿過，那自然之前打網(wǎng)站的攻擊者可能會記錄這些東西。 ...

老周朋友及管理員朋友新年快樂，有空再幫看一下，在附件里有說明，謝謝！

真想宰了哪些雜碎垃圾！

作者: 老周部落 時間: 2022-1-31 13:52

zhansh 發(fā)表于 2022-1-31 12:40
老周朋友及管理員朋友新年快樂，有空再幫看一下，在附件里有說明，謝謝！

真想宰了哪些雜碎垃圾！

我去找人了，春節(jié)期間估計比較慢，敬請諒解。
另外建議排查下網(wǎng)站環(huán)境，春節(jié)后重裝下服務(wù)器之類的，免得服務(wù)器已經(jīng)淪陷了。

作者: 老周部落 時間: 2022-1-31 14:55

zhansh 發(fā)表于 2022-1-31 12:40
老周朋友及管理員朋友新年快樂，有空再幫看一下，在附件里有說明，謝謝！

真想宰了哪些雜碎垃圾！

我找到人要到附件了，需要您補(bǔ)充 data\log 以及 uc_server\data\logs 兩個文件夾的全部文件上傳上來。

另外請加強(qiáng)對上述目錄以及 data\attachment 的后門掃描，感覺這些目錄里面是有后門文件的，雖然好像設(shè)置禁止訪問之后就被攔截了。

作者: zhansh 時間: 2022-1-31 18:52
本帖最后由 zhansh 于 2022-2-6 14:19 編輯

老周部落發(fā)表于 2022-1-31 14:55
我找到人要到附件了，需要您補(bǔ)充 data\log 以及 uc_server\data\logs 兩個文件夾的全部文件上傳上來。

另 ...

服務(wù)器9月壞了重新裝過，也沒亂裝軟件和插件，應(yīng)該是沒有問題的；attachment 目錄設(shè)置的執(zhí)行權(quán)限無，里面就是些附件和圖片沒查到可疑文件。

擔(dān)心有些壞種可能也會訪問論壇，所以也不便多說請見諒，給你發(fā)消息發(fā)不了，現(xiàn)上傳LOG見附件，麻煩老周朋友有空幫再看看，到底是哪里的問題，謝謝！

作者: 老周部落 時間: 2022-2-2 21:42

zhansh 發(fā)表于 2022-1-31 18:52
服務(wù)器9月壞了重新裝過，也沒亂裝軟件和插件，應(yīng)該是沒有問題的；attachment 目錄設(shè)置的執(zhí)行權(quán)限無，里面 ...

您好，我要的是 全部文件。

作者: 老周部落 時間: 2022-2-2 21:45

zhansh 發(fā)表于 2022-1-31 18:52
服務(wù)器9月壞了重新裝過，也沒亂裝軟件和插件，應(yīng)該是沒有問題的；attachment 目錄設(shè)置的執(zhí)行權(quán)限無，里面 ...

看您也懶的搞，直接給 uc_server/data/logs/201810.php 吧，現(xiàn)在看這個文件有問題。
另外兩個 log 目錄不會訪問，直接做 403 吧。

作者: zhansh 時間: 2022-2-3 11:27
本帖最后由 zhansh 于 2022-2-3 16:55 編輯

老周部落發(fā)表于 2022-2-2 21:45
看您也懶的搞，直接給 uc_server/data/logs/201810.php 吧，現(xiàn)在看這個文件有問題。
另外兩個 log 目錄不 ...

不是懶呀，就是php不是很懂，辛苦老周朋友了，服務(wù)上早就沒這個文件了，從早期的備份里好在找到了已上傳，同時更改了下密碼，謝謝！

作者: 老周部落 時間: 2022-2-3 14:15
本帖最后由老周部落于 2022-2-3 14:31 編輯

zhansh 發(fā)表于 2022-2-3 11:27
不是懶呀，就是php不是很懂，辛苦老周朋友了，服務(wù)上早就沒這個文件了，從早期的備份里好在找到了已上傳， ...

看到文件了，這個文件是帶后門的，可以輸出核心數(shù)據(jù)。
我又仔細(xì)比對了一下之前的文件，異常請求的時間和文件生成時間對比一致，但是原版程序是沒有這些接口的，建議再著重排查一下底層環(huán)境以及插件，清理完成后再次修改各類 KEY 試試（X3.4 20220131 版本修改 KEY 體驗會好一點(diǎn)，不過現(xiàn)在還在測試）。
另外建議后續(xù)跟進(jìn)版本升級以免黑客通過漏洞再次攻擊網(wǎng)站。

作者: zhansh 時間: 2022-2-3 17:21
本帖最后由 zhansh 于 2022-2-3 17:28 編輯

老周部落發(fā)表于 2022-2-3 14:15
看到文件了，這個文件是帶后門的，可以輸出核心數(shù)據(jù)。
我又仔細(xì)比對了一下之前的文件，異常請求的時間和文 ...

是密碼泄露的原因嗎，但是最近被注入的時候UC登錄里都是失敗的日志，并沒有登錄成功的日志，就是不知道文件是怎么寫上去的。另外除了官方的qq登錄也沒有裝過插件，版本也是最新的1231。這次根據(jù)您的建議又改了點(diǎn)東西，但是自己水平太差可能還會存在不到位的地方，后續(xù)還得繼續(xù)觀察，新版一直也都跟進(jìn)的，謝謝老周，給您拜年了！

作者: 老周部落 時間: 2022-2-3 18:02

zhansh 發(fā)表于 2022-2-3 17:21
是密碼泄露的原因嗎，但是最近被注入的時候UC登錄里都是失敗的日志，并沒有登錄成功的日志，就是不知道文 ...

密碼泄露是有可能的，但是從日志里沒看出來。QQ 登錄太多網(wǎng)站在用了，有漏洞怕不是一片一片完蛋。
感覺還是要排查下環(huán)境問題，看您其他帖子說還在用 Server 2003 ，這個版本實在是太老了，不能排除是環(huán)境被打穿了導(dǎo)致的。

作者: zhansh 時間: 2022-2-3 19:26

老周部落發(fā)表于 2022-2-3 18:02
密碼泄露是有可能的，但是從日志里沒看出來。QQ 登錄太多網(wǎng)站在用了，有漏洞怕不是一片一片完蛋。
感覺還 ...

密碼已經(jīng)都改過了，服務(wù)器升級麻煩些，我觀察段時間再看看，謝謝謝謝！

作者: 一葦過江 時間: 2022-2-10 14:18
這種情況我也遇到過，后臺有應(yīng)用添加、刪除的記錄（主要好像還是頭像上傳夾帶了馬）。我現(xiàn)在都把ｕｃｅｎｔｅｒ下的admin和index改名字，反正平時登錄UCENTER也少。

作者: zhansh 時間: 2022-2-10 20:57

一葦過江發(fā)表于 2022-2-10 14:18
這種情況我也遇到過，后臺有應(yīng)用添加、刪除的記錄（主要好像還是頭像上傳夾帶了馬）。我現(xiàn)在都把ｕｃｅｎｔ ...

很有可能的，謝謝！

歡迎光臨 Discuz! 官方交流社區(qū) (http://www.9999xn.com/)

久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线