破解登录后台修改了UCenter

一个不起眼的小站，前段时间被人破解登录了后台，查看后台操作记录以及日志文件，登录后只在ucenter这里设置不知道修改什么然后提交更新缓存，然后就退出来了，全程只有几分钟。问下这里他可以修改什么操作。我知道可能会挂马后门等。前期我站管理员密码较弱，可能导致的破解，现在修改了网站管理员以及UC管理员和uckey ftp密码了，想问下如果只在ucenter这操作的话，带来什么后果以及该怎么处理修复。感谢回复与帮助。

你是被挂马了~   需要做好服务器安防  和木马清理
必要时可以联系我的QQ129820  有偿清理服务器木马

关于被挂马，劫持快照问题：
用以下方法试试
若存在，处理前，先卸载所有盗版插件与模版。
进discuz后台找到工具-文件校验，看下最近有哪些php文件被修改了。
1、排查网站源文件的php 文件，查看是否有出现IP地址、或者异常网站（上面跳转的网站），如果有删除就可以了。
2、排查网站源文件的php 文件，查看是否有如下代码：@include($_SERVER['DOCUMENT_ROOT']
（排查一般用WEBshell后门扫描软件扫描核查！）
如果有就删除此段代码。并把该段代码进行解密。
举例：@include($_SERVER['DOCUMENT_ROOT'].PACK('H*','2F646174612F6176617461722F30'));
需要解密的代码为：2F646174612F6176617461722F30
解密后为：/data/avatar/0
代码解密地址：http://www.bejson.com/convert/ox2str/

意思就是在上述路径下存在被非法上传的文件，用于做快照劫持。
解决办法：删除上面的代码和文件即可。
挂马问题解决了后，记得更改服务器相关的各种密码，尽量设置的复杂一点。

allthebest 发表于 2021-1-4 19:54
关于被挂马，劫持快照问题：
用以下方法试试
若存在，处理前，先卸载所有盗版插件与模版。

感谢您的接到。在后台访问记录看到，这个黑客使用管理员账号密码登录错误一次，接着就进去了，我设的密码虽然不长，但破解也费尽把，他是怎么进去的，是网站有后门了吗。按照您的方法分别在index.php portal.php  config_global.php  找到了那个加密的代码解密删除了指向文件也用官方文件覆盖了，但是这个config_global.php是什么文件，官方我没找到这个。您说的网站源文件的php文件，指的网站目录下所有的.php的文件吗。

tuzhida 发表于 2021-1-4 12:35
感谢您的接到。在后台访问记录看到，这个黑客使用管理员账号密码登录错误一次，接着就进去了，我设的密码 ...

config_global.php文件：数据库主服务器设置, 支持多组服务器设置, 当设置多组服务器时, 则会根据分布式策略使用某个服务器。

不是所有php文件都要检查，而是被攻击前三天起php文件要检查；

另外 修改站长登录后台与Ucenter 密码，越复杂越好；记不下，用地址部另存。

https://www.dismall.com/thread-1586-1-1.html

用以上方法，黑客尝试用站长密码登录，无论登录后台或ucenter 都会跳转404页面。

allthebest 发表于 2021-1-4 20:57
config_global.php文件：数据库主服务器设置, 支持多组服务器设置, 当设置多组服务器时, 则会根据分布式 ...

感谢指导，谢谢。

allthebest 发表于 2021-1-4 20:57
config_global.php文件：数据库主服务器设置, 支持多组服务器设置, 当设置多组服务器时, 则会根据分布式 ...

您好在问下uc_server入口可以关闭吗，或者也类似非管理员页面出错

tuzhida 发表于 2021-1-4 14:53
您好在问下uc_server入口可以关闭吗，或者也类似非管理员页面出错

不用太过担心。

https://www.dismall.com/thread-1586-1-1.html

用以上方法，黑客尝试用任何站长密码登录，无论登录后台或ucenter 都会跳转404页面。

tuzhida 发表于 2021-1-4 22:53
您好在问下uc_server入口可以关闭吗，或者也类似非管理员页面出错

/uc_server/admin.php 可以改名备用