dz没有过滤图片木马的功能吗，老是被上传木马

网站最近被黑，发现局势通过上传图片木马然后提权的，DZ的上传图片没有过滤功能吗，或者有没有类似的插件可以过滤图片木马的

思路不对！
图片木马的提权，需要的基本条件了解下：需要上传目录脚本执行权限，只要取消脚本执行权限即可。

假如我上传图片去你网站帖子中，该图片被上传至data目录某日期子目录中，防范的办法不是过滤，而是不要给予该目录上级目录 脚本执行权限，要记住 可读可写 与脚本执行权限的区别。不给予脚本执行权限，不影响读写以及调用到网页中。 dz防范图片木马的目录 1 data  2 uc头像目录。这样就达到目的了。

服务器图片上传目录禁止php执行权限，还有禁止图片以php方式执行（自身安全配置问题）

服务器做好安全设置 比较靠谱 dz是论坛 不是安全过滤程序哦 呵呵

我是centos系统，nginx之前已经对data和头像目录去掉执行权限，但不知道是那个人是怎么提权的
我看之前在别的网站上传测试过图片木马，提示不是图片文件上传不了，应该是可以过滤的，没有办法过滤吗，或者有么有类似的插件

jmxye 发表于 2018-8-24 12:00
我是centos系统，nginx之前已经对data和头像目录去掉执行权限，但不知道是那个人是怎么提权的
我看之前在 ...

没脚本执行权限 怎么提权！ 除非不是该目录感染。
提权：是支持跨目录的——— 能返回到上级目录————甚至网站根目录的上级/
没听过这类插件或者功能呀！？

hhb121 发表于 2018-8-24 13:07
没脚本执行权限 怎么提权！ 除非不是该目录感染。
提权：是支持跨目录的——— 能返回到上级目录——— ...

他是上传到/data目录，然后我的/uc_server目录之前有写入权限，也有执行权限，木马就是放到/uc_server目录的

  木马伪装图片~这是任何的可以带上传写入的程序避免不了的~！  你要做的就是把权限写好 把漏洞封好
让黑客没有办法在你系统上执行木马文件！

jmxye 发表于 2018-8-24 14:37
他是上传到/data目录，然后我的/uc_server目录之前有写入权限，也有执行权限，木马就是放到/uc_server目 ...

已经挂马 要清理干净 要不反复发作哦

mR.耗子 发表于 2018-8-24 15:43
木马伪装图片~这是任何的可以带上传写入的程序避免不了的~！  你要做的就是把权限写好 把漏洞封好
让黑 ...

我就是希望能最大限度的过滤掉一些，