【各位站长必看-Dz有漏洞可以上传黑页/挂马】

⑧穿内裤 · 发表于 2017-8-30 08:51:35

读写权限没有控制好

杨海威 · 发表于 2017-8-30 09:02:15

通过上传头像方法上传木马已经席卷整个 Discuz 如果是云服务器的话安装安全狗就可以拦截这种非法上传

格东站长网插件 · 发表于 2017-8-30 09:42:42

楼主什么系统？感觉linux控制文件夹权限后，不存在这个漏洞

不二. · 发表于 2017-8-30 10:12:45

格东站长网插件发表于 2017-8-30 09:42
楼主什么系统？感觉linux控制文件夹权限后，不存在这个漏洞

win 2008

不二. · 发表于 2017-8-30 10:21:22

杨海威发表于 2017-8-30 09:02
通过上传头像方法上传木马已经席卷整个 Discuz 如果是云服务器的话安装安全狗就可以拦截这种非法上传

我租的是服务器。用安全狗照样挂

kevinchiu2012 · 发表于 2017-8-30 10:23:12

不二. 发表于 2017-8-30 10:21
我租的是服务器。用安全狗照样挂

哪里的服务器。不是阿里云或是腾讯云吧？

不二. · 发表于 2017-8-30 10:46:26

kevinchiu2012 发表于 2017-8-30 10:23
哪里的服务器。不是阿里云或是腾讯云吧？

快快网络的宁波高防

460724213 · 发表于 2017-8-30 12:18:53

白衣胜雪发表于 2017-8-30 07:54
建议把保存头像、图片等文件的目录的权限设置修改一下，禁止脚本执行。

禁止脚本执行是 777 还是 755 还是644啊

如果设置644了还能不能上传图像呢

民审大大 · 发表于 2017-8-30 12:59:01

本帖最后由民审大大于 2017-8-30 13:06 编辑

服务器能把图片按php执行的话，那是你服务器安全配置问题，不是DZ的问题，任何程序上传图片，你要允许当php运行，结果都一样
然后你发帖的文章和Discuz无关，那是代码不严谨，直接上传生成php文件的漏洞案例
最后你的论坛文件已经泄露，UC KEY得修改，不然不安全

hhb121 · 发表于 2017-8-30 13:04:17

不存在这个漏洞，权限设置不当导致的。如果都设置了可读写修改权限的话，肯定会有问题，linux 主机尤其严重。代码本身过滤了。

		自动登录	找回密码
密码			立即注册

[求助] 【各位站长必看-Dz有漏洞可以上传黑页/挂马】