[紧急公告] 请各位看到此帖子的站长立即检查站内是否存在 Webshell [附扫描工具]

魔焰男孩

前段时间各版本 discuz 的 admin/style.inc.php 被曝光了一个模板自定义变量正则过滤不严的漏洞，导致可以构造非法的数据写入数据库，进而在更新缓存后非法数据写入 style_n.php 中，所以通过这个漏洞可以构造一个 webshell 留在服务器中，除非手动在后台或数据库中删除这些记录，否则留下的后门都是无法删除的。

这个漏洞的危害性虽大，但局限性也很大，因为只有拥有管理员权限才能进入后台利用。discuz 在后台有一段连接到 http://customer.discuz.net/news.php 的代码，这段代码的初衷是用来通知 discuz 补丁发布或者程序更新的，然而偏偏在那个过滤不严的漏洞被曝光后，customer.discuz.net 这个域名却被劫持了（说法未考证），原本是用来通知的代码被恶意篡改成了一段特殊构造的、利用前面曝光的那个过滤不严的漏洞向数据库中插入 webshell 的代码。所以凡是在域名被劫持期间访问过后台的基本上都被种植下了 webshell。

Webshell 能够干什么？在权限允许的范围内，它可以向所有可写目录中写入文件，修改一切可写的文件（比如向模板文件中写入挂马代码），执行数据库操作，上传木马的服务器上等，只要想得到的基本上都能够做到。

据观察，此次漏洞被利用了2次。在第一次只是直接把 webshell 写入 style_1.php 这个缓存文件中，不知道什么缘故，黑客在写入 webshell 的同时还向浏览器输出了一些字符，导致了在 header 模板被加载前就有数据被输出，在一些浏览器下会造成字体变大、表格错位等现象。第二次也就是这次事件中，webshell 是由 style_1.php 生成到 usergroup_0.php 中的，由于他不会再像浏览器输出些什么，很多站长根本无法察觉到。

因此，为了您的网站安全，现在请您在看到这个帖子的时候，首先进入后台的风格管理中，依次点击您安装的每个风格的“编辑”并切换到高级模式，查看页面最底端是否有自定义模板变量，由则删除之。完成这步操作后检查论坛中是否有下面2个文件：

./usergroup_0.php
./forumdata/cache/usergroup_0.php

如果有的话请立即删除，然后更新论坛的缓存。

确认后请再检查模板文件是否被篡改写入挂马链接，各可写目录是否被上传了木马，有则请进行清理，有必要的话可以使用杀毒软件进行查杀。

现在，官方已发布公告, 请点击这里查看.

=========================================

这个是我写的一个扫描程序，它可以扫描 usergroup_*.php、style_*.php 等缓存文件是否有 Webshell，附件目录是否存在 php/asp 文件，模板中是否有不安全外链存在（有外链则表示有可能被挂马），以及 stylevars 表中的非法数据。

程序使用方法很简单，下载后解压缩并将 scansw.php 上传至论坛根目录，打开后选择需要扫描的项目并点击开始扫描即可。

scanws.rar (4.17 KB, 下载次数: 3715)

2009-8-18 22:36 上传

下载次数: 3715

(最后更新: 2009-08-18 22:35)

这个程序不会改动任何论坛数据，只对目前存在的问题做出建议，不会对论坛产生任何影响。
扫描结果可能存在误差，请进行任何改动前都要备份文件！
使用完毕后请删除此程序文件。

程序使用的是 DOM 来扫描 htm 文件，检测 <script> 标签和 <iframe> 标签，包括检测 <script></script> 之间的内容是否有外链，所以程序除了检测这次的 Webshell 之外，平时下载插件或者风格后在安装之前也可以扫一下下载的东西安不安全。

有任何疑问请到 http://bbs.7dps.com 咨询。

截图:

体无完肤

坐沙发！！！！！！！！！！！！！！！！！！！！！

等待官方的消息！

柒瑞爱心天使

支持， 大家检查下，很重要。

灰伍

支持.安全第一.

柒瑞爱心天使

感谢mf斑竹，体无完肤，以及各位dz粉丝们的支持、关注！
我替大家谢谢你们了。

铁桶

收到.支持~

lyliheng

没想到 竟然坐5楼  真不可思议啊  谢谢楼主  非常感谢

kofip

我论坛前段时间 官方默认风格 出现字体变大 编辑器 有问题等现场

在IE6才会这样 其他浏览器不会 但是风格 我没修改过

其他HACK风格就正常，当时没有办法 只能取消了默认风格的使用。

刚才去检查 文件 还果真发现了 楼主说的文件 看来我中招了。。。

铁桶

阿门,我的小站也发现:
./usergroup_0.php
./forumdata/cache/usergroup_0.php

魔焰男孩

我论坛前段时间 官方默认风格 出现字体变大 编辑器 有问题等现场

在IE6才会这样 其他浏览器不会 但是风格 我没修改过

其他HACK风格就正常，当时没有办法 只能取消了默认风格的使用。

刚才去检查 文件 还果真 ...
kofip 发表于 2009-8-18 01:48

这个是forumdata/cache/style_1.php的问题, 用发布的检测程序检测之后会提示到论坛后台执行一句SQL, 这句SQL就是用来删除webshell的, 执行后更新缓存就可以恢复默认风格了.