DZ3.4 哪些文件會(huì)被通過(guò)上傳頭像等漏洞注入木馬代碼？

泰然自若

最近發(fā)現(xiàn)又有人通過(guò)修改個(gè)人資料 上傳頭像 修改資料之類的DZ漏洞來(lái)實(shí)現(xiàn)注入木馬代碼的非法企圖。
木馬文件會(huì)自動(dòng)在根目錄創(chuàng)建幾個(gè)php頁(yè)面，就是非法頁(yè)面，幸虧被阿里云給阻擋了。


前天在 \api\connect  目錄下發(fā)現(xiàn)過(guò)一個(gè)木馬文件 what.php

將其刪除后，昨天根目錄沒有新文件了

但是今天又發(fā)現(xiàn)根目錄有這樣的文件，所以應(yīng)該又有注入？

查看 \api\connect  目錄 下沒有發(fā)現(xiàn)
應(yīng)該是其它目錄了

想請(qǐng)教大神：一般這樣的注入，哪些目錄或文件是最有可能的？
我還得去排查下。感謝

PS：大概每年都有2-3次這樣的注入，然后一個(gè)個(gè)去找馬，真心心累……

我知道答案 回答被采納將會(huì)獲得1 貢獻(xiàn) 已有31人回答

Benisme

查看一下服務(wù)器日志吧。我也遇到過(guò)通過(guò)個(gè)人資料設(shè)置的上傳文件功能上傳木馬的，但其實(shí)只要設(shè)置附件文件夾不允許執(zhí)行php文件就沒啥大礙。

泰然自若

Benisme 發(fā)表于 2019-7-1 18:35
查看一下服務(wù)器日志吧。我也遇到過(guò)通過(guò)個(gè)人資料設(shè)置的上傳文件功能上傳木馬的，但其實(shí)只要設(shè)置附件文件夾不 ...

文件夾不允許執(zhí)行php文件

請(qǐng)教，這個(gè)如何設(shè)置呢？
服務(wù)器日志看不懂啊。。。

ghz0433

Benisme 發(fā)表于 2019-7-1 18:35
查看一下服務(wù)器日志吧。我也遇到過(guò)通過(guò)個(gè)人資料設(shè)置的上傳文件功能上傳木馬的，但其實(shí)只要設(shè)置附件文件夾不 ...

attachment默認(rèn)設(shè)置權(quán)限是755 還是777

Benisme

泰然自若 發(fā)表于 2019-7-1 22:16
文件夾不允許執(zhí)行php文件

請(qǐng)教，這個(gè)如何設(shè)置呢？

這個(gè)要看你服務(wù)器的環(huán)境。如果是用nginx，就在conf文件的server里加一段：

1. location ~* ^/data/attachment/.*.(php|php5)$ {
   
2.         deny all;
   
3. }

復(fù)制代碼

你現(xiàn)在得先找到對(duì)方上傳的偽裝成圖片的那個(gè)文件，不然光刪除幾個(gè)生成的木馬文件沒用，源頭沒找到，對(duì)方只要想再生成隨時(shí)可以弄個(gè)。

Failure

排查后門，然后在補(bǔ)漏洞。

泰然自若

Benisme 發(fā)表于 2019-7-2 13:54
這個(gè)要看你服務(wù)器的環(huán)境。如果是用nginx，就在conf文件的server里加一段：

阿里云提示的都隔離了，還沒清除完，現(xiàn)在又出現(xiàn)了。還得再查下。謝謝！

泰然自若

Failure 發(fā)表于 2019-7-2 16:25
排查后門，然后在補(bǔ)漏洞。

最新版的DZ了，就是通過(guò)是上傳個(gè)人資料的漏洞。

Failure

個(gè)人上傳漏洞？

crx349

泰然自若 發(fā)表于 2019-7-3 22:15
最新版的DZ了，就是通過(guò)是上傳個(gè)人資料的漏洞。

應(yīng)該已經(jīng)上傳木馬 然后利用頭像功能上傳 木馬哦
先檢查dz代碼是否完整 同時(shí)是否官方文件哦為記得x3.4的新版本有對(duì)uc的漏洞進(jìn)行修補(bǔ) 可以升級(jí)看看