DZ3.5版本存在木馬程序？？？

白天也懂夜的黑

各位老師好。我今日使用寶塔的“網站安全檢測”對我的站點進行掃描后，提示我的站點存在2個木馬程序，建議我刪除。
其中的一個“木馬程序”是我下載官方DZ3.5版本程序中自帶的，文件名及路徑為/upload/source/plugin/witframe_api/page.remote.php
不知道這是什么情況：是這個文件真的存在問題，還是寶塔的“網站安全檢測”誤報了？
希望官方開發(fā)人員檢查下分析下，謝謝。

我知道答案 回答被采納將會獲得1 貢獻 已有10人回答

湖中沉

這種“安全掃描”信它就見鬼了，機械式掃描，又不會前后文判斷的

白天也懂夜的黑

湖中沉 發(fā)表于 2024-5-31 08:37
這種“安全掃描”信它就見鬼了，機械式掃描，又不會前后文判斷的

你好，就是說這個文件沒有問題，是寶塔那邊誤報了，是嗎。


我將該文件代碼粘貼過來了，麻煩你看下哈。

1. <?php
   
2. 
   
3. chdir('../../../');
   
4. 
   
5. define('IN_WITFRAME_API_REMOTE', 1);
   
6. define('DISCUZ_OUTPUTED', 1);
   
7. define('IN_WITFRAME_API_REMOTE_DEBUG', !empty($_GET['_debug']) ? 1 : 0);
   
8. 
   
9. 
   
10. require_once './source/plugin/witframe_api/class/remote.class.php';
    
11. 
    
12. if (!empty($_POST)) {
    
13.         $r = new WitClass\Remote();
    
14.         if (empty($_POST['_script_'])) {
    
15.                 $r->output(array(
    
16.                         'ret' => -1,
    
17.                 ));
    
18.         }
    
19. 
    
20.         if (!preg_match('/^\w+$/', $_POST['_script_'])) {
    
21.                 $r->output(array(
    
22.                         'ret' => -2,
    
23.                 ));
    
24.         }
    
25. 
    
26.         $script = $_POST['_script_'];
    
27.         $session = !empty($_POST['_session_']) ? $_POST['_session_'] : '';
    
28.         if (!$r->check($script . $session)) {
    
29.                 $r->output(array(
    
30.                         'ret' => -4,
    
31.                 ));
    
32.         }
    
33. 
    
34.         $output = !empty($_POST['_output_']) ? $_POST['_output_'] : array();
    
35.         $rawOutput = !empty($_POST['_raw_']);
    
36.         $_GET = $r->paramDecode('_get_');
    
37.         $cookies = $session ? $r->sessionDecode($session) : array();
    
38.         foreach ($cookies as $k => $v) {
    
39.                 $_COOKIE[$k] = $v;
    
40.                 setcookie($k, $v);
    
41.         }
    
42.         $_POST = $r->paramDecode('_post_');
    
43. 
    
44.         $shutdownFunc = 'showOutput';
    
45.         if($rawOutput) {
    
46.                 $shutdownFunc = 'rawOutput';
    
47.         } elseif($output) {
    
48.                 $shutdownFunc = 'convertOutput';
    
49.         }
    
50. 
    
51.         register_shutdown_function(array($r, $shutdownFunc), $output);
    
52. 
    
53.         try {
    
54.                 require './' . $script . '.php';
    
55.         } catch (Exception $e) {
    
56.                 $r->output(array(
    
57.                         'ret' => -3,
    
58.                 ));
    
59.         }
    
60. } else {
    
61.         $_GET['id'] = 'witframe_api:api';
    
62.         require './plugin.php';
    
63. }

復制代碼

湖中沉

白天也懂夜的黑 發(fā)表于 2024-5-31 08:44
你好，就是說這個文件沒有問題，是寶塔那邊誤報了，是嗎。

不用復制出來，只要是官方發(fā)的包，不是第三方下載的，就完全不用擔心，開源的產品，一大堆白帽子黑客盯著，放木馬？想啥呢……是嫌帽子叔叔們不上門嘛？

白天也懂夜的黑

湖中沉 發(fā)表于 2024-5-31 08:47
不用復制出來，只要是官方發(fā)的包，不是第三方下載的，就完全不用擔心，開源的產品，一大堆白帽子黑客盯著 ...

原則上是的，我們慎重一點也沒壞處哈。我跟寶塔那邊反饋下，誤報太嚇人了。

湖中沉

白天也懂夜的黑 發(fā)表于 2024-5-31 08:53
原則上是的，我們慎重一點也沒壞處哈。我跟寶塔那邊反饋下，誤報太嚇人了。 ...

這種所有在線檢測的，均不可靠，人家會告訴你，只是提示你風險，讓你進一步查看，根本不會對此負責的……

對于這種檢測，最好的做法就是無視，現(xiàn)在的檢測都是機械式的檢測有沒有某些關鍵詞，有這個關鍵詞，就是風險，比如你這代碼里有個“shutdowm”，他可能就當成是關機的惡意代碼了……但人家根本不是這作用，所以信它就很扯

白天也懂夜的黑

湖中沉 發(fā)表于 2024-5-31 08:55
這種所有在線檢測的，均不可靠，人家會告訴你，只是提示你風險，讓你進一步查看，根本不會對此負責的……
...

這樣啊，你說沒有問題那我就放心了，謝謝哈。

huyuzhe

所有都要自己甄別，如果是小白多玩?zhèn)€十年八年也有經驗了。
1.我是第一先檢查修改記錄的文件；
2.檢查discuz程序之外的附加目錄及文件；
3.避開二開覆蓋管方文件；
4.查看陌生文件；

這四個基本能解決大部分問題。我遇到過把木馬掛到了我一個不用的附加目錄里，然后定期給我掛馬加代碼，找人清理要500沒做，自己地毯式搜索，分段覆蓋文件，再分離與discuz以外的獨立文件，就完全解決了。

白天也懂夜的黑

huyuzhe 發(fā)表于 2024-5-31 15:54
所有都要自己甄別，如果是小白多玩?zhèn)€十年八年也有經驗了。
1.我是第一先檢查修改記錄的文件；
2.檢查discuz ...

厲害。

crx349

插件行為命中了掃描器的 關鍵字 wiframe插件 官網下的沒問題 建議對比下