关于被挂马,劫持快照问题:
$ ^9 ^# [4 s1 @! A) }0 j# i0 Y. g t1 D2 p
用以下方法试试
0 c3 N- t3 F1 d2 H2 t) X4 Q" Q. L) |6 }; i2 G! }( g$ ^
若存在,处理前,先卸载所有盗版插件与模版。' L7 r5 V, I9 X5 M( q$ C7 {
0 o) Z9 {) ~ n
进discuz后台找到工具-文件校验,看下最近有哪些php文件被修改了。
9 ]% Q' i* T, U& C6 R6 ]. m
( Z" W1 v) [9 K4 K1、排查网站源文件的php 文件,查看是否有出现IP地址、或者异常网站(上面跳转的网站),如果有删除就可以了。) |- n* h, K9 J. x
% I# R8 v5 x: q1 N4 \! {
2、排查网站源文件的php 文件,查看是否有如下代码:@include($_SERVER['DOCUMENT_ROOT']6 |0 P5 ~: y, E. n9 \) ~2 n
, V+ v/ I# k- U' Q(排查一般用WEBshell后门扫描软件扫描核查!)
1 ?$ n. W8 E& k7 E
8 B/ c6 @1 e3 z- R5 L# X+ ~如果有就删除此段代码。并把该段代码进行解密。
# ]! U9 F+ K/ Q& u; D9 ~& L1 D
, X, W1 R8 p$ A3 }/ e# r2 g举例:@include($_SERVER['DOCUMENT_ROOT'].PACK('H*','2F646174612F6176617461722F30'));: F$ W: w7 W5 w( h2 W0 t R
: B+ Q" j B- B, W: l W; m
需要解密的代码为:2F646174612F6176617461722F30
4 t5 m3 ~: y @+ j& ~5 D
4 D8 ~: }5 Q" y+ Q4 b0 w3 y解密后为:/data/avatar/0
: r, w' e4 ~- f; p8 W& Q( H+ z# F) W
代码解密地址:http://www.bejson.com/convert/ox2str/
, u! Y4 f: j0 A3 x5 p' U1 u9 y2 s$ T$ u* ~ x, U
. h$ C' M' B) q# l: h意思就是在上述路径下存在被非法上传的文件,用于做快照劫持。0 H+ y$ e0 U- Z B& \, S9 l" M
7 D" E7 R; G6 y4 Y. ^! _$ c# Z" Q
解决办法:删除上面的代码和文件即可。' p: T2 }# T$ U1 f1 s
8 g* y7 Q6 ]" O. E8 [
挂马问题解决了后,记得更改服务器相关的各种密码,尽量设置的复杂一点。 |
