DZ又出严重安全漏洞

config里被写入一句话
后台密码非弱口令，无破解记录。直接被登录
已咨询其它各大论坛都出现了此问题，入侵者只是看看后台设置，有的改了友情链接，暂时没有什么恶意举动
并且IP都为 109.7.241.68


我的安全做的还算比较到位，可写的目录全部无php执行权限，这个一句话应该是留下来做为以后入侵之用。
入侵手段一定是通过dz自带的某个0day做到的

我已手动删了一句话木马，改了密码，撤掉了所有的后台管理员，坐等dz出解决方案

不会吧？？  。。。。。。。。。。。。

我相信是你安装了盗版插件引起的

您的问题已收到，我们的产品安全部门正在确认此问题，确认之后再做进一步反馈。

uc那边至少要做下过滤吧，貌似ucenter设置那里可以直接插入一句话

config这种不在后台文件检验范围内的全局包含文件，应该设定为httpd/php属主不可写。
我的做法是除了上传附件目录、cache目录，其他目录及文件对于httpd/php进程的属主不可写，已不同的数组来实现对ftp上传进程的可写（我倒是不用ftp，而是sftp）。

关注img。。。

每日签到，发帖际遇，dz实验室的竞拍，都是直接在应用中心下载

目录权限只是config、data、ucclient\data可写，并且上述目录均不可运行，所以一定不是因为config里的一句话导致后台密码泄漏，应该是存在某个不为人知的bug导致的。
我自感觉安全方面做得比较到位，装了上述插件的不止我一个。而且某大论坛也被搞了，坐等漏洞大规模爆发。

服务器操纵系统是win 2k3 x64，问了另一个被黑的他是rhel，所以跟操作系统无关。

目前我的防范策略(伤敌一千自损八百型)：
1.修改管理员密码
2.修改uckey
3.下载dz最新版本，对比文件，看看哪里加了一句话
(我的权限做的很死，被加到了config里，还好没被利用，不然就惨了)
4.config里删除你的创始人身份
5.备份文件，然后删除admin.php source/admincp

人家能入侵了，权限再怎么做都没用。。。。

DZ程序里总要有可写可执行目录。。


所以这问题要看是程序问题，还是环境入侵。。。等待下次再入侵……

毕业证编号查询 http://www.cha860.com