关于被挂马,劫持快照问题:& q* e h. ?( F6 A, Y+ y/ `
2 A, \# n! |$ }# P, q
用以下方法试试% ?7 v* w; w1 G* B8 q
: }8 z, M) s+ p
若存在,处理前,先卸载所有盗版插件与模版。) {; F% W( V0 a) n- b+ h' B
: X* b: f# T5 h7 y& ? q
进discuz后台找到工具-文件校验,看下最近有哪些php文件被修改了。
' ?, Z% p0 o$ L+ g+ ?" M D$ G. N* H/ m2 R3 t% l/ D) L5 r3 U( \7 O3 U
1、排查网站源文件的php 文件,查看是否有出现IP地址、或者异常网站(上面跳转的网站),如果有删除就可以了。
5 u$ k3 P: _ c3 q3 z5 x
) x: H( O1 A: x4 _2、排查网站源文件的php 文件,查看是否有如下代码:@include($_SERVER['DOCUMENT_ROOT']
% s6 ^1 ]: l. m" [, }% q; T/ y& U5 j1 u' ~# S% _
(排查一般用WEBshell后门扫描软件扫描核查!)" j/ N6 a# ]. D2 k4 k6 S' I
) m" \. y& h5 w) X* C7 E v
如果有就删除此段代码。并把该段代码进行解密。3 B. o0 P0 ^, Y( }6 l9 O- c: r
' s- w% o8 L; a3 Q$ i- R9 k
举例:@include($_SERVER['DOCUMENT_ROOT'].PACK('H*','2F646174612F6176617461722F30'));/ a' O* R" s/ s, r
! N7 [5 S8 R' b! ^) V; B需要解密的代码为:2F646174612F6176617461722F30* k2 Q+ L# u- Y' K, r" F4 h3 s" L
6 M4 g; N/ ^% o5 {9 u6 `3 ~
解密后为:/data/avatar/0; C9 E, R9 v6 }. G
. d/ C5 l& T( P; a7 h* S# \5 G代码解密地址:http://www.bejson.com/convert/ox2str/
; s0 |$ \( F$ S/ {2 g
% q s) U7 m' b6 a2 l; d8 F7 q0 O5 ] c2 O2 [# }: H& A
意思就是在上述路径下存在被非法上传的文件,用于做快照劫持。
5 v. s$ Y9 l: Z: A* ]# W
+ {! X4 _! S5 Z5 i# V3 A0 V解决办法:删除上面的代码和文件即可。
8 G$ ~7 b, q0 }* {* F3 P9 W
) U. D& F. G. ^挂马问题解决了后,记得更改服务器相关的各种密码,尽量设置的复杂一点。 |
