关于被挂马,劫持快照问题:- G, B [7 F/ u1 D9 V6 @: g
( V$ k0 Z: @ t; y% j
用以下方法试试
: L+ Y3 L8 v- w
$ `( q' s5 r4 S5 y4 x若存在,处理前,先卸载所有盗版插件与模版。$ V7 x( g: L* n: y K
% o \% ^/ }! p0 I& G5 v进discuz后台找到工具-文件校验,看下最近有哪些php文件被修改了。
" ^/ B, n1 d, R$ |, a
) ~6 ~+ K" T3 r9 s: B: R) ?6 J4 {1、排查网站源文件的php 文件,查看是否有出现IP地址、或者异常网站(上面跳转的网站),如果有删除就可以了。
% M6 K; c* V2 W
" c* A; S% s, N; `. ]1 m5 p2、排查网站源文件的php 文件,查看是否有如下代码:@include($_SERVER['DOCUMENT_ROOT']
6 ^1 T; u0 D/ D& u7 p! V! n3 `- H3 j3 g
(排查一般用WEBshell后门扫描软件扫描核查!) a0 d- c* M+ B# L0 I' z
6 c& `# E) [3 e3 L" q
如果有就删除此段代码。并把该段代码进行解密。' K. P3 l* u' M3 Q; a) L# E5 \
: M1 b0 a1 T6 h! ]4 u9 c0 b
举例:@include($_SERVER['DOCUMENT_ROOT'].PACK('H*','2F646174612F6176617461722F30'));
8 m0 [! |6 u0 Z; H1 q. ~/ D9 s( z8 H; q$ L& }+ c/ m! T
需要解密的代码为:2F646174612F6176617461722F30
/ D6 ~$ J8 u( {- z) g) c6 @
! D8 {2 @* e }& E解密后为:/data/avatar/00 O- I( q i6 W
2 |) ~5 `6 e6 Z+ }
代码解密地址:http://www.bejson.com/convert/ox2str/
( E7 N2 x& N9 t3 _* F1 Y q
6 A. s8 \; D0 w! m
: G# K* W/ i% r+ p/ w意思就是在上述路径下存在被非法上传的文件,用于做快照劫持。
- q" `) w; ~0 j; n7 X$ A. h! V( L# k" }: E) `
解决办法:删除上面的代码和文件即可。- s2 ]4 Y* i- T
% M7 y+ `8 v4 a( X# |9 F$ N
挂马问题解决了后,记得更改服务器相关的各种密码,尽量设置的复杂一点。 |
