网站经常被入侵，被上传网页木马，附日志文件内容

我朋友的一个网站，一直用的DZ的程序，之前有很长时间使用的是DZX3.3，由于时间关系，都没有升级。后来有一次网站访问出错，就查了一下，发现网站被入侵，文件被修改了，我就开始修复，把木马文件删除，并且将程序也升级到了最新的3.4版本。过了一小段时间，还是被入侵，被传木马，但是页面访问是没有问题的，不登陆FTP，都不知道网站有问题了。然后，找了腾讯云的技术人员帮忙排查，他们把排查出来的恶意文件通过工单发给我，我自己就对照列表删除了那些文件，并且把自己查到的恶意文件也一瓶删除了，除了这样，还把腾讯云发布的一些漏洞按照他们提供的方法修复了。这样还是无法根除服务器被入侵，仍然一直有不属于网站程序的PHP文件被写入网站目录中。
现在实在没有办法了，在网站目录中找到两个日志文件，但是本人技术水平实在有限，看也看不太懂，也找不到问题的根本所在。所以，想请官方的大大们帮忙看一下。


贴日志内容或者直接传文件都不行。我只能打包上传，请帮忙看一下，麻烦大家了，谢谢！

若存在，处理前，先卸载所有盗版插件与模版。

进discuz后台找到工具-文件校验，看下最近有哪些php文件被修改了。

1、排查网站源文件的php 文件，查看是否有出现IP地址、或者异常网站（上面跳转的网站），如果有删除就可以了。

2、排查网站源文件的php 文件，查看是否有如下代码：@include($_SERVER['DOCUMENT_ROOT']

（排查一般用WEBshell后门扫描软件扫描核查！）

如果有就删除此段代码。并把该段代码进行解密。

举例：@include($_SERVER['DOCUMENT_ROOT'].PACK('H*','2F646174612F6176617461722F30'));

需要解密的代码为：2F646174612F6176617461722F30

解密后为：/data/avatar/0

代码解密地址：http://www.bejson.com/convert/ox2str/


意思就是在上述路径下存在被非法上传的文件，用于做快照劫持。

解决办法：删除上面的代码和文件即可。

挂马问题解决了后，记得更改服务器相关的各种密码，尽量设置的复杂一点。

被入侵后, 你现在要做的是:
1. 备份数据库 (只备份数据库, 之前的php.htm.js之类的文件一个都不能要)
2. 换服务器 (因为有可能服务器也被加了后门程序了)
3. 换服务器后, 修改ftp密码, 修改服务器登录密码. 修改数据库Mysql密码
4. 安装Dsicuz, 之后恢复备份的数据库, 之后修改论坛管理员账号密码(如果有QQ登录QQ密码也要改)
5. 然后全部修改之前discuz涉及到的密码(包括邮箱smtp密码, authkey密码, ucenter通信秘钥等...)

除此之外, 没有其它完美方法,
不要想着去清除后门, 因为DZ成千上W个文件, 每个文件几千上W行代码, 人家随便加一句代码你怎么知道在哪里, 难道你每个文件都去找资深程序员从头到尾看一遍? 估计不吃不喝1个月都看不完,还有可能看漏了

还有ftp软件一定要用从官网下载的, 不要去用绿色版破解版, 因为有可能会同时把你的网站密码发给破解者,
管理员的浏览器不要安装浏览器扩展、插件、应用
管理员不要随便用代理,不要用小型CDN, 这些都是可以获取管理员cookie的

好的，谢谢各位的帮助。

记得以前的服务器用的是某宝上买的，香港VPS，后来腾讯云做活动，就买了三年的。

用VPS的时候啥事没有，因为我自己的水平也就跟小白差不多，不懂代码，模板是自己用官方默认模板修改的。

不知道是不是腾讯云树大招风还是怎么的，换到腾讯云之后就一直出现被入侵的这种情况。

再次谢谢各位的帮助，我按照你们提供的方法去处理一下。谢谢！

jiangchuankyo 发表于 2020-10-4 22:31
被入侵后, 你现在要做的是:
1. 备份数据库 (只备份数据库, 之前的php.htm之类的文件一个都不能要)
2. 换 ...

你说得很对，无法保证是不是真正的清除后门了。
我买的是腾讯云服务器，备份数据库之后，我就把服务器系统重装了。
重新安装了最新版本的程序，但是很奇怪的，刚装好的程序，进后台就发现，有1644个文件被修改。
不知道这是不是正常的。
另外就是，才刚刚重装的系统，服务器就在被那些IP进行一些特殊请求。不知道是不是因为我的域名的关系。

那你就可以看看那些特需请求的IP呢 拉黑掉。

新装的程序 文件被修改 有可能就是你更新了一遍最新文件也算修改过。看那边没用的。

某宝买的，那某宝 你用过他的VPS，他可以拿到你旧的 数据库密码这些，旧的SSH密码，还有你的ucenter key 你这些有没有换过一遍密码。

DZ后台最好把 会员空间 相册这些功能全关了，用户组权限禁止上传图片到个人空间，空间相册。

evilvoy 发表于 2020-10-10 02:07
那你就可以看看那些特需请求的IP呢 拉黑掉。

新装的程序 文件被修改 有可能就是你更新了一遍最新文件也 ...

好的，谢谢！拉黑了一些IP，程序也彻底更换了，控制面板都换了，密码也换了。
就差DZ的会员空间和相册这些功能还没有关闭。

然后，在更新的时候发现，有人可以在别人的空间匿名留言。不知道最新版本有没有修复这个BUG了。