Discuz!检查可供挂马的Webshell漏洞
|
编程之家 52php.cn 克日网上看到越来越多的站长陈诉说本身的论坛被人放了 Webshell 乃至挂马,早先没在意,但令我惊讶的是,本日我在本机的dz的根目次也发明白一个Webshell,接着搜查了一下,发明 7dps.com,7drc.com,以致 discuz.net 也中招了! 由此可见,这个也许存在的裂痕造成的危害是极其严峻的,通过操作在处事器中天生的 Webshell,黑客可以用它来挂马、修改数据以致清空整个论坛数据! 请每个看到这个帖子的站长当即搜查论坛下面有没有以下文件,假若有,请当即删除! ./usergroup_0.php ./forumdata/cache/usergroup_0.php 除此之外,假如发明论坛有字体变大等征象,请进入靠山 气魄威风凛凛打点 的高级模式,搜查有没有非常的 自界说模板变量,有则删除之并更新论坛缓存! 假如发明白上述恶意文件,请删除后搜查论坛模板,查察是否被人挂马等. 删除文件后,请亲近存眷这些非常文件是否会再次呈现. 官方已在下载处事器上宣布补丁,请点击这里下载安装. ========================================= 下面宣布一个我写的扫描措施,它可以扫描出论坛中 usergroup_*.php、style_*.php 等缓存文件是否有 Webshell,附件目次是否存在 php/asp 文件,模板中是否有外链存在 (有外链则暗示有也许被挂马),以及 stylevars 表中的犯科数据. 假如较量懒的伴侣可以用这个措施对论坛举办一次扫描. 行使要领很简朴,下载后解压缩并将 scansw.php 上传至论坛根目次,打开后选择必要扫描的项目并点击开始扫描即可. scanws.rar (4.17 KB) 这个措施不会窜改任何论坛数据,只对今朝存在的题目做出提议,不会对论坛发生任何影响. 扫描功效也许存在偏差,请举办任何窜改前都要备份文件! 行使完毕后请删除此措施文件,最好再在这里回个帖子帮顶一下. 提醒: 假如扫描措施提醒必要到靠山执行一段sql代码的话,请必然要按照提醒操纵! 假若有这个提醒呈现,我信托您的站点一定呈现过字体变大的稀疏征象! 只是当初许多人没故意识到这个题目的严峻性! 执行sql后请更新论坛的缓存,假如您封锁了该气魄威风凛凛,可以再次开启它. 行使 PHP4 的站长请从头下载措施. 更新: 1. 增进扫描附件目次中是否有 php/asp 文件 2. 增进安详外链忽略成果 (可编辑 $safeurls 增进) 3. 扫描竣事后假如没有发明任何伤害代码做出安详表现 4. 因为 PHP4 不支持 DOM,PHP5 以下版本自动封锁扫描模板成果 措施行使的是DOM来扫描htm文件,检测 之间的内容是否有外链,以是,这措施除了检测这次的Webshell之外,平常下载插件可能气魄威风凛凛后在安装之前也可以扫一下下载的对象安不安详. (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
