DZ又出严重安全漏洞

config里被写入一句话
后台密码非弱口令，无破解记录。直接被登录
已咨询其它各大论坛都出现了此问题，入侵者只是看看后台设置，有的改了友情链接，暂时没有什么恶意举动
并且IP都为 109.7.241.68


我的安全做的还算比较到位，可写的目录全部无php执行权限，这个一句话应该是留下来做为以后入侵之用。
入侵手段一定是通过dz自带的某个0day做到的

我已手动删了一句话木马，改了密码，撤掉了所有的后台管理员，坐等dz出解决方案

不会吧？？  。。。。。。。。。。。。

我相信是你安装了盗版插件引起的

您的问题已收到，我们的产品安全部门正在确认此问题，确认之后再做进一步反馈。

uc那边至少要做下过滤吧，貌似ucenter设置那里可以直接插入一句话

config这种不在后台文件检验范围内的全局包含文件，应该设定为httpd/php属主不可写。
我的做法是除了上传附件目录、cache目录，其他目录及文件对于httpd/php进程的属主不可写，已不同的数组来实现对ftp上传进程的可写（我倒是不用ftp，而是sftp）。

关注img。。。