Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

发现最新Discuz3.4版本漏洞

[复制链接]
yyhh6457994 发表于 2020-1-5 12:05:04 来自手机 | 显示全部楼层 |阅读模式
本帖最后由 yyhh6457994 于 2020-1-6 09:38 编辑

今天发现论坛被人挂吗了,分析了一下入侵日志,

首先被恶意上传了一张图片到系统相册(路径:/data/attachment/album/),图片用记事本打开里面有php木马,然后通过uc_server里的admin.php访问木马文件,就可以随意控制目录文件了,目前的只能限制uc目录权限来解决,由于是手机编辑,具体周一再发布具体内容吧。
=============================================
2020.1.6更新:
发现问题有点严重,上传到到相册的图片是通过admin帐号上传的,不是其他随便注册的帐号,而且管理帐号密码超级复杂,是不可能被破解的,应该还是存在注入漏洞,等待进一步排查日志再反馈。
楼下说关闭相册功能,我进后台发现这个功能本来就是关闭的。
54666 发表于 2020-1-5 13:50:44 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

evilvoy 发表于 2020-1-5 19:12:02 | 显示全部楼层
关闭相册功能。禁止空间 发布日志  留言 打招呼 分享 。一般都没什么人用这些功能。用的都是不良目的。
限制部分目录权限
回复

使用道具 举报

东歪西倒 发表于 2020-1-5 19:40:22 | 显示全部楼层
这个问题看着挺严重的。限制UC权限会不会对网站有什么影响呢?
回复

使用道具 举报

jeeke 发表于 2020-1-6 08:34:31 | 显示全部楼层
为什么官方不回应呢?我也遇到了入侵的问题
discuz现漏洞,config_global.php配置文件被篡改!!!
https://discuz.dismall.com/thread-3848278-1-1.html
(出处: Discuz! 官方站)
回复

使用道具 举报

oldhu 发表于 2020-1-6 10:19:57 | 显示全部楼层
DiscuzX已知的漏洞都会及时修补。网站入侵的原因是多方面的,不一定与DiscuzX有关。控制目录权限、php, nginx, apache用户的权限等都是防止问题扩大的重要手段。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-12-23 15:12 , Processed in 0.024014 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表