咨询热线

400-123-4567

该模版有AB模版网制作分享,本站唯一网址:Www.AdminBuy.Cn 加入VIP即可下载全部模版,联系QQ:9490489

咨询热线

400-123-4567
地址:江苏省南京市玄武区玄武湖
电话:13988999988
传真:+86-123-4567
邮箱:9490489@qq.com

新闻动态

当前位置: > 新闻动态 >

[求助] 批量DZ站被挂马,请各位站长检查下后台

发布时间:2018/05/24 点击量:



批量DZ站被挂马,请各位站长检查下,后台-工具-文件校验,看看那些是被改动的PHP文件检查下

有没有被挂马

我在自己站的感染文件里有其他DZ站的网址,联系了以后发现果然如此,我联系到2个站长了,都DZ3.2

开始怀疑插件,但另外一个站长,被黑6月1日重装了,还没第3方插件只官方的QQ互联,只装了第3方手机模板,仍然再次被黑。

漏洞并不在被感染的文件,现在怀疑UCenter,Discuz uc.key泄露导致代码注入漏洞,因为DZ3.2到2016年6月1日就不更新了。但是最后更新Discuz! X3.2 R20160601里 uc.php漏洞已经修复了。

怕memcache+ssrf GETSHELL漏洞漏洞现在停了memcache,没用。

总之还找不到头绪,希望各位站长检查下自己的网站,群策群力,给给建议。



一般是感染了 source/class/class_core.php 或config/config_global.php 或其他核心PHP文件加了一句话 include_once 引用了 /某目录/某目录/0.txt

内容就这一句


  1. @include_once("你的某个可写目录/0.txt");
复制代码


文件目录都是变的,但是代码不变,最有可能是 /data/avatar

建立了以下文件,

/某目录/某目录/0.txt

/某目录/某目录/1.jpg

/某目录/某目录/2.jpg

/某目录/某目录/3.jpg

/某目录/某目录/4.jpg

/某目录/某目录/work/zi_1.txt

/某目录/某目录/work/zi_2.txt

/某目录/某目录/work/zi_3.txt

/某目录/某目录/work/zi_4.txt

/某目录/某目录/work/zi_5.txt

/某目录/某目录/work/zi_6.txt

/某目录/某目录/work/zi_7.txt

/某目录/某目录/work/zi_8.txt

你删除没用,大约半小时他重新给你下马



1.jpg 等是文本文件,有PHP广告内容,有其他网站的内容

/work/目录下都是广告标题文字,基本是违法的广告



0.txt 开头内容如下
  1. <?php

  2. ini_set('html_errors', false);
  3. ini_set('display_errors', false);
  4. define("APP_INCLUDE_FLAG", "TRUE");
  5. define('APP_JACK_CHARSET', 'GBK');
  6. define('APP_JACK_DOCUMENTROOT','/0.txt所在目录/');
  7. define('APP_JACK_TEMPLATE', APP_JACK_DOCUMENTROOT . '2.jpg');
  8. define('APP_JACK_ARTICLE', APP_JACK_DOCUMENTROOT . '3.jpg');
  9. define('APP_JACK_DES', APP_JACK_DOCUMENTROOT . 'miaoshu.txt');
  10. define('APP_JACK_BIANLIANG', APP_JACK_DOCUMENTROOT . '4.jpg');
  11. define('APP_JACK_BIANLIANG_B', APP_JACK_DOCUMENTROOT . 'bianliang2.txt');
  12. define('APP_JACK_BIANLIANG_C', APP_JACK_DOCUMENTROOT . 'bianliang3.txt');
  13. define('APP_MIX_KWD_FILE', APP_JACK_DOCUMENTROOT . 'hunhe.txt');
  14. define('APP_JACK_CACHED', 'Uncached');
  15. define('APP_JACK_MIN_PAR', '3');
  16. define('APP_JACK_MAX_PAR', '3');
  17. define('APP_JACK_MIN', '10');
  18. define('APP_JACK_MAX', '15');
  19. define('APP_JACK_OPENWL', '1');
  20. define('APP_JACK_APPFILE', APP_JACK_DOCUMENTROOT . '1.jpg');
  21. function App_GetLink()
  22. {
  23. $site = array();
  24. $site[] = 'http://你或别人的网址/thread-' . mt_rand(1000, 999999999) . '-1-1.html';
  25. $site[] = 'http://你或别人的网址/forum-' . mt_rand(1000, 999999999) . '-1.html';
  26. $site[] = 'http://你或别人的网址/forum.php?mid=' . mt_rand(1000, 999999999) . '/';
  27. $site[] = 'http://你或别人的网址/home.php?mid=' . mt_rand(1000, 999999999) . '/';
  28. $site[] = 'http://你或别人的网址/index.php?' . mt_rand(1000, 999999999) . '/';
  29. return $site[mt_rand(0, count($site) - 1)];
  30. }
  31. function App_GetSelf()
  32. {
  33. $site = array();
  34. $site[] = 'http://你或别人的网址/thread-' . mt_rand(1000, 999999999) . '-1-1.html';
  35. $site[] = 'http://你或别人的网址/forum-' . mt_rand(1000, 999999999) . '-1.html';
  36. $site[] = 'http://你或别人的网址/forum.php?mid=' . mt_rand(1000, 999999999) . '/';
  37. $site[] = 'http://你或别人的网址/home.php?mid=' . mt_rand(1000, 999999999) . '/';
  38. $site[] = 'http://你或别人的网址/index.php?' . mt_rand(1000, 999999999) . '/';
  39. return $site[mt_rand(0, count($site) - 1)];
  40. }
  41. function getImg()
复制代码



另外,有任意名字的php文件后门,大家可以搜下里面关键词maxfile 2000000 等看看有没有中枪







地址:江苏省南京市玄武区玄武湖    电话:400-123-4567    传真:+86-123-4567
技术支持:织梦模版   ICP备案编号:沪IPC:021023647    上海净化设备有限公司