论坛全局文件被修改挂黑链 疑似discuz漏洞导致

论坛前后6-7次被黑客入侵，全局文件（config_global.php, class_core.php）均有被修改过的情况，并在开头添加了判断搜索引擎访问返回蜘蛛池的代码。
该代码经过base64加密，下面是解码前后的图片。


在清除黑链代码和删除后门文件后，设置config_global.php只读，在下一次入侵时，发现class_core.php被修改。同样清除后，设置source目录只读，在下一次入侵时，模板缓存文件被添加黑链代码，由此可见，该黑客对discuz程序非常熟悉。

分析网站日志，发现uc_server/admin.php这个Ucenter登录页面被攻击最多，初步怀疑是该页面代码漏洞导致网站被黑。
被入侵的论坛地址：http://mei-lady.com/
个人能力不足，实在不知道是什么原因导致网站被入侵，希望能得到disucz官方开发人员的分析，我可以提供详细的网站日志，感激不尽！

疑似攻击者ip：103.240.40.166
下面是该ip相关部分网站日志，其中un.php返回200，但可能已经被黑客删除，未在服务器找到。

楼主论坛的这个区域做得挺漂亮的，请问是怎么弄的呢？修改模板吗？

新版本论坛程序那么容易被黑  还不如用X2.0的版本  可能还安全一些吧  
服务器安装安全狗什么的  应该也可以防止一些攻击吧  我也不太懂
我以前建论坛是用X2.0版本的程序 两年多 庆幸没有被黑过  要不然头大

小-洁 发表于 2017-3-24 14:34
楼主论坛的这个区域做得挺漂亮的，请问是怎么弄的呢？修改模板吗？

这一块是调用外部自定义页面实现的，也可以直接修改网站模板查询数据库输出。

南风暖心 发表于 2017-3-24 14:46
这一块是调用外部自定义页面实现的，也可以直接修改网站模板查询数据库输出。

谢谢回复     不是很懂这些，但是觉得弄得很好看，有点像CMS网站的样子了。

小-洁 发表于 2017-3-24 14:40
新版本论坛程序那么容易被黑  还不如用X2.0的版本  可能还安全一些吧  
服务器安装安全狗什么的  应该也可 ...

这个论坛也运营了3, 4年了，之前一直没出现问题，只是从1月份开始频繁被入侵。

安全防护 没做好吧，或者你服务器有其他网站程序没，有漏洞没

做好安全防护哦

xxbnet 发表于 2017-3-24 16:02
安全防护 没做好吧，或者你服务器有其他网站程序没，有漏洞没

根据网站日志分析，感觉入侵服务器成功的入口有可能是uc_server/admin.php这个文件。

uc_server/admin.php这个的确是不大好