Discuz!檢查可供掛馬的Webshell漏洞

　　網(wǎng)(LieHuo.Net)教程 近日網(wǎng)上看到越來(lái)越多的站長(zhǎng)報(bào)告說(shuō)自己的論壇被人放了 Webshell 甚至掛馬, 起初沒(méi)在意, 但令我詫異的是, 今天我在本機(jī)的dz的根目錄也發(fā)現(xiàn)了一個(gè)Webshell, 接著檢查了一下, 發(fā)現(xiàn) 7dps.com, 7drc.com, 乃至 discuz.net 也中招了!

　　由此可見(jiàn), 這個(gè)可能存在的漏洞造成的危害是極其嚴(yán)重的, 通過(guò)利用在服務(wù)器中生成的 Webshell, 黑客可以用它來(lái)掛馬、修改數(shù)據(jù)乃至清空整個(gè)論壇數(shù)據(jù)! 請(qǐng)每個(gè)看到這個(gè)帖子的站長(zhǎng)立即檢查論壇下面有沒(méi)有以下文件, 如果有, 請(qǐng)立即刪除!

　　./usergroup_0.php

　　./forumdata/cache/usergroup_0.php

　　除此之外, 如果發(fā)現(xiàn)論壇有字體變大等現(xiàn)象, 請(qǐng)進(jìn)入后臺(tái) 風(fēng)格管理 的高級(jí)模式, 檢查有沒(méi)有異常的 自定義模板變量, 有則刪除之并更新論壇緩存!

　　如果發(fā)現(xiàn)了上述惡意文件, 請(qǐng)刪除后檢查論壇模板, 查看是否被人掛馬等. 刪除文件后, 請(qǐng)密切關(guān)注這些異常文件是否會(huì)再次出現(xiàn).

　　官方已在下載服務(wù)器上發(fā)布補(bǔ)丁, 請(qǐng)點(diǎn)擊這里下載安裝.

　　=========================================

　　下面發(fā)布一個(gè)我寫(xiě)的掃描程序, 它可以掃描出論壇中 usergroup_*.php、style_*.php 等緩存文件是否有 Webshell, 附件目錄是否存在 php/asp 文件, 模板中是否有外鏈存在 (有外鏈則表示有可能被掛馬), 以及 stylevars 表中的非法數(shù)據(jù).

　　如果比較懶的朋友可以用這個(gè)程序?qū)φ搲M(jìn)行一次掃描. 使用方法很簡(jiǎn)單, 下載后解壓縮并將 scansw.php 上傳至論壇根目錄, 打開(kāi)后選擇需要掃描的項(xiàng)目并點(diǎn)擊開(kāi)始掃描即可.

　　scanws.rar (4.17 KB)

　　這個(gè)程序不會(huì)改動(dòng)任何論壇數(shù)據(jù), 只對(duì)目前存在的問(wèn)題做出建議, 不會(huì)對(duì)論壇產(chǎn)生任何影響.

　　掃描結(jié)果可能存在誤差, 請(qǐng)進(jìn)行任何改動(dòng)前都要備份文件!

　　使用完畢后請(qǐng)刪除此程序文件, 最好再在這里回個(gè)帖子幫頂一下.

　　提示:

　　如果掃描程序提示需要到后臺(tái)執(zhí)行一段sql代碼的話, 請(qǐng)一定要根據(jù)提示操作! 如果有這個(gè)提示出現(xiàn), 我相信您的站點(diǎn)必定出現(xiàn)過(guò)字體變大的奇怪現(xiàn)象! 只是當(dāng)初很多人沒(méi)有意識(shí)到這個(gè)問(wèn)題的嚴(yán)重性! 執(zhí)行sql后請(qǐng)更新論壇的緩存, 如果您關(guān)閉了該風(fēng)格, 可以再次開(kāi)啟它.

　　使用 PHP4 的站長(zhǎng)請(qǐng)重新下載程序.

　　更新:

　　1. 增加掃描附件目錄中是否有 php/asp 文件

　　2. 增加安全外鏈忽略功能 (可編輯 $safeurls 增加)

　　3. 掃描結(jié)束后如果沒(méi)有發(fā)現(xiàn)任何危險(xiǎn)代碼做出安全顯示

　　4. 由于 PHP4 不支持 DOM, PHP5 以下版本自動(dòng)關(guān)閉掃描模板功能

　　程序使用的是DOM來(lái)掃描htm文件, 檢測(cè) 之間的內(nèi)容是否有外鏈, 所以, 這程序除了檢測(cè)這次的Webshell之外, 平時(shí)下載插件或者風(fēng)格后在安裝之前也可以掃一下下載的東西安不安全.

生活不易，碼農(nóng)辛苦
如果您覺(jué)得本網(wǎng)站對(duì)您的學(xué)習(xí)有所幫助,可以手機(jī)掃描二維碼進(jìn)行捐贈(zèng)