关于被挂马,劫持快照问题:
2 P4 f' K. P( ?" \4 C3 r$ A7 n0 [( f. r; U! J0 b G, \8 U' K
用以下方法试试8 J; N' _9 S5 O# [# D
2 v5 t5 `; X) y: k8 l2 D9 H9 Q
若存在,处理前,先卸载所有盗版插件与模版。! Z$ x5 B2 h* H; c+ `. W$ t( T
0 T9 j% ^' a3 x% w% P
进discuz后台找到工具-文件校验,看下最近有哪些php文件被修改了。
$ R% d. y- t1 `
# O+ K: h: r2 F; P, n* D) j1、排查网站源文件的php 文件,查看是否有出现IP地址、或者异常网站(上面跳转的网站),如果有删除就可以了。$ ~ x6 F3 k5 }* w
) F" H% Q% B' x' M: K, o2、排查网站源文件的php 文件,查看是否有如下代码:@include($_SERVER['DOCUMENT_ROOT']$ w) X' _8 t! A
/ G7 x% b! _. k; y
(排查一般用WEBshell后门扫描软件扫描核查!). q, F3 |7 E( Q6 E
2 h% Z* K: f) V" z
如果有就删除此段代码。并把该段代码进行解密。 b3 j5 V7 b5 |6 Q
: ]: O( P+ L& x) v9 B y6 i$ u7 k
举例:@include($_SERVER['DOCUMENT_ROOT'].PACK('H*','2F646174612F6176617461722F30'));
: O" I, E! V$ B) s1 J* ^2 I
5 Y( ~3 m4 p1 x% w+ |$ U1 \/ h需要解密的代码为:2F646174612F6176617461722F30
4 H+ v7 u9 T( X: Y0 Y4 \
: s5 {3 _) |9 W2 ^$ O- e解密后为:/data/avatar/0- L/ P5 X- z, q4 Z: s
4 k" n' m$ K* z/ w代码解密地址:http://www.bejson.com/convert/ox2str/. v8 [/ X1 U! @/ b4 c( H
. e" y. @/ ~* N/ Y8 ]6 s$ ?( z' X2 u
意思就是在上述路径下存在被非法上传的文件,用于做快照劫持。
9 Z2 F3 P0 U7 {) O2 l: k7 g
) z. Q$ Q$ s# K1 O+ }解决办法:删除上面的代码和文件即可。
* q1 {8 t& n: b2 Q+ q* n
7 i% p& }+ Y' n挂马问题解决了后,记得更改服务器相关的各种密码,尽量设置的复杂一点。 |
