DZ3.4 哪些文件會被通過上傳頭像等漏洞注入木馬代碼？

泰然自若

最近發現又有人通過修改個人資料 上傳頭像 修改資料之類的DZ漏洞來實現注入木馬代碼的非法企圖。
木馬文件會自動在根目錄創建幾個php頁面，就是非法頁面，幸虧被阿里云給阻擋了。


前天在 \api\connect  目錄下發現過一個木馬文件 what.php

將其刪除后，昨天根目錄沒有新文件了

但是今天又發現根目錄有這樣的文件，所以應該又有注入？

查看 \api\connect  目錄 下沒有發現
應該是其它目錄了

想請教大神：一般這樣的注入，哪些目錄或文件是最有可能的？
我還得去排查下。感謝

PS：大概每年都有2-3次這樣的注入，然后一個個去找馬，真心心累……

我知道答案 回答被采納將會獲得1 貢獻 已有31人回答

Benisme

查看一下服務器日志吧。我也遇到過通過個人資料設置的上傳文件功能上傳木馬的，但其實只要設置附件文件夾不允許執行php文件就沒啥大礙。

泰然自若

Benisme 發表于 2019-7-1 18:35
查看一下服務器日志吧。我也遇到過通過個人資料設置的上傳文件功能上傳木馬的，但其實只要設置附件文件夾不 ...

文件夾不允許執行php文件

請教，這個如何設置呢？
服務器日志看不懂啊。。。

ghz0433

Benisme 發表于 2019-7-1 18:35
查看一下服務器日志吧。我也遇到過通過個人資料設置的上傳文件功能上傳木馬的，但其實只要設置附件文件夾不 ...

attachment默認設置權限是755 還是777

Benisme

泰然自若 發表于 2019-7-1 22:16
文件夾不允許執行php文件

請教，這個如何設置呢？

這個要看你服務器的環境。如果是用nginx，就在conf文件的server里加一段：

1. location ~* ^/data/attachment/.*.(php|php5)$ {
   
2.         deny all;
   
3. }

復制代碼

你現在得先找到對方上傳的偽裝成圖片的那個文件，不然光刪除幾個生成的木馬文件沒用，源頭沒找到，對方只要想再生成隨時可以弄個。

Failure

排查后門，然后在補漏洞。

泰然自若

Benisme 發表于 2019-7-2 13:54
這個要看你服務器的環境。如果是用nginx，就在conf文件的server里加一段：

阿里云提示的都隔離了，還沒清除完，現在又出現了。還得再查下。謝謝！

泰然自若

Failure 發表于 2019-7-2 16:25
排查后門，然后在補漏洞。

最新版的DZ了，就是通過是上傳個人資料的漏洞。

Failure

個人上傳漏洞？

crx349

泰然自若 發表于 2019-7-3 22:15
最新版的DZ了，就是通過是上傳個人資料的漏洞。

應該已經上傳木馬 然后利用頭像功能上傳 木馬哦
先檢查dz代碼是否完整 同時是否官方文件哦為記得x3.4的新版本有對uc的漏洞進行修補 可以升級看看