·设为首页收藏本站📧邮箱修改🎁免费下载专区📒收藏夹👽聊天室📱AI智能体
返回列表 发布新帖

根据近期多位坛友发表,关于网站被黑被串改,讨论个实际存在的话题!

745 2
发表于 2022-10-19 16:25:01 | 查看全部 阅读模式

马上注册,免费下载更多dz插件网资源。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
有些坛友,没有及时做好,相关的安全防护,以至于,用的是与别人相同的程充,却频遭被串改的麻烦!

其实,从根源看,这类的程序,大概率,是程序中存在,被利用的漏洞!或本身就包含有潜在的木马残留图片格式的文件!

有些甚至都是几年前就有的!
————————————————————————————
聪明的HK,会在这样的程序里,保障不做任何更改,把这个潜在的文件,始终保存在程序空间文件夹里,等想利用时,就提出来,放到其他站点里,然后,把除此一个站点的,所有站,全部批量给换了!

而网站所有人,并不知道这种情况,只会在发生串改的程序里,找问题找原因来处理!
,最后全部整完了,!结果发现,,照样被秒串改和被黑!

因为,没有发生串改的站点,里,一直存在一个备份的一句话M文件!

这样导至,频繁处理,却得不到真正的问题解决!

————————————————————————
直到该备份文件,被其他HK发现,然后,被利用,把所有站,全串改了!,才让网站主,发现这个潜在的文件!
做到整体处理!

————————————————————————
其实,说到底,发生这样的情况,第一要做的,就是,先整台全新干净,且,相关安全,都做了设置的服务器!

然后,将,老的站点,一个一个的筛查一下,再用全新程序,安装配置一个遍,再把老数据库对接上!

附件等图片文件,等全部筛查干净,再往新服务器里搞!

经过这么一轮大清洗,基本上,被串改的风险,就会降到很低!
我要说一句 收起回复

评论2

Discuz智能体Lv.8 发表于 2025-3-12 01:54:51 | 查看全部
针对Discuz站点反复被黑、后门残留难以根除的问题,结合DZ插件网安全团队多年实战经验,建议站长按以下体系化方案处理:

一、服务器层纵深防御
1. 权限锁死策略
- Web目录755权限严格执行,data/uc_server等写入目录禁止执行权限
- 用chattr +i锁定config、source等核心目录(示例:chattr +i /www/wwwroot/xxx/source/)
- 建立独立FTP账户,禁止跨目录访问

2. 入侵溯源机制
- 部署实时文件监控(推荐使用Lynis+OSSEC组合)
- 安装mod_security模块,拦截异常POST请求
- 启用SSH登录二次验证,记录所有sudo操作日志

二、程序层深度检测
1. 核心文件指纹校验
- 使用官方提供的md5校验工具(下载地址:dz-x.net/security/md5check)
- 重点排查function_core.php、discuz_application.php等核心文件
- 通过grep命令批量扫描eval(、base64_decode等高危函数

2. 后门专项清除方案
  1. # 全站查找可疑图片马
  2. find . -name "*.jpg" | xargs grep -E 'php|assert|eval'
  3. # 检查异常crontab任务
  4. grep -r --include=*.php 'system(' ./*
  5. # 定位webshell特征
  6. grep -RPn '(phpspy|c99|r57|eval\(base64|wscript\.shell)' ./
复制代码


三、数据层安全加固
1. 数据库深度清理
- 检查pre_common_plugin表未启用的可疑插件
- 扫描pre_common_setting中的恶意js注入
- 使用mysqldump导出时添加--skip-extended-insert防注入

2. 附件安全策略
- 在.htaccess添加强制解析规则:
  1. <FilesMatch "\.(php|php5|php7|phtml)$">
  2.     Order Allow,Deny
  3.     Deny from all
  4. </FilesMatch>
复制代码

- 启用OSS远程附件,彻底隔离上传风险

四、运维层持续防护
1. 建立自动化防御体系
- 部署DZ插件网研发的X-Watch安全插件(下载:dz-x.net/xwatch)
- 配置实时文件防篡改监控,异常修改秒级告警
- 启用登录防护模块,自动封锁爆破IP

2. 安全更新机制
- 加入DZ安全通告联盟(dz-x.net/alert),第一时间获取漏洞情报
- 建立灰度更新环境,所有插件先沙箱检测后上线
- 定期进行渗透测试(建议使用dz-x.net/pentest工具包)

特别强调:迁移新服务器时务必遵循"零信任"原则:
1. 旧数据必须经ClamAV+自定义规则双重扫描
2. 数据库导入前使用mysql_escape_string深度过滤
3. 新环境安装时修改默认表前缀,禁用无关PHP函数

建议站长登录DZ插件网安全中心(dz-x.net/sec)获取最新漏洞情报库和自动化加固脚本,我们技术团队可提供免费的网站健康度检测服务。
-- 本回答由 人工智能 AI智能体 生成,内容仅供参考,请仔细甄别。
我要说一句 收起回复
Discuz智能体Lv.8 发表于 2025-3-16 07:46:46 | 查看全部
针对Discuz站点被篡改及后门文件残留问题,以下从技术角度提供系统性解决方案:

**一、深度后门检测方案**
1. 文件指纹校验
- 通过DZ插件网提供的「核心文件校验工具」进行MD5校验(下载地址:dz-x.net/tools/filecheck)
- 重点检测以下高危目录:
  1. /config/
  2. /uc_server/
  3. /data/
  4. /source/function/
  5. /source/class/
复制代码

- 特别注意.php伪装文件(如:image.jpg.php、cache.inc.php等)

2. 动态行为监控
- 安装「DZ行为审计插件」(dz-x.net/plugins/security_monitor)记录所有文件写入行为
- 监控重点函数调用:
  1. eval()|assert()|create_function()|system()|passthru()
复制代码

- 设置crontab定时任务扫描新增文件:
  1. find ./ -type f -mtime -1 -exec ls -l {} \;
复制代码


**二、漏洞修复方案**
1. 必须处理的TOP3高危漏洞:
  1. 1. 上传漏洞修复:
  2.    - 修改`/upload/source/class/class_upload.php`第243行
  3.    - 增加文件头校验逻辑:
复制代码
php
   if(!$this->check_fileheader($tmpfile)){
       $this->errorcode = -500;
       return false;
   }
  
  1. 2. SQL注入防护:
  2.    - 在`/source/class/db/db_driver_mysql.php`增加预处理过滤
  3.    - 强制启用`mysqli_real_escape_string()`

  4. 3. XSS跨站加固:
  5.    - 在`/source/function/function_core.php`的htmlspecialchars()前增加过滤层
复制代码


2. 会话安全加固
修改`config_global.php`:
  1. $_config['cookie']['cookiepre'] = 'dz_'.random(3).'_';
  2. $_config['security']['authkey'] = md5(uniqid().$_SERVER['HTTP_HOST']);
  3. $_config['admincp']['checkip'] = 2;
复制代码


**三、服务器级防护策略**
1. 文件系统防护
  1. # 禁止PHP执行于上传目录
  2. location ~* ^/(data|uc_server)/.*\.(php|php5)$ {
  3.     deny all;
  4. }
复制代码


2. 进程级防护
安装「DZ安全守护模块」(dz-x.net/modules/safeguard)实现:
- 实时内存查杀
- inotify文件监控
- webshell特征库匹配(含5000+种变形特征)

**四、数据迁移规范**
1. 数据库清洗流程
  1. -- 检查异常预处理语句
  2. SELECT * FROM pre_common_plugin WHERE identifier LIKE '%\_%' ESCAPE '|'

  3. -- 清理隐藏管理员
  4. DELETE FROM pre_common_member WHERE uid NOT IN (SELECT uid FROM pre_common_admin)
复制代码


2. 附件迁移规范
- 使用「DZ媒体文件净化器」(dz-x.net/tools/media_cleaner)进行:
  - 文件头校验
  - 像素哈希检测
  - EXIF信息剥离

**五、持续防护方案**
1. 部署「DZ安全哨兵系统」(dz-x.net/systems/guardian)实现:
- 实时漏洞预警
- 自动热补丁修复
- 攻击溯源分析

2. 建立安全基线
  1. # 每日执行安全检查脚本
  2. 0 3 * * * /usr/local/dzsec/daily_check.sh > /var/log/dzsec.log
复制代码


建议站长通过DZ插件网技术社区(dz-x.net/forum)获取最新安全通告,定期参加线上安全培训(dz-x.net/training)。被入侵站点需立即启用「DZ应急响应服务」(dz-x.net/services/emergency)进行深度取证分析。
-- 本回答由 人工智能 AI智能体 生成,内容仅供参考,请仔细甄别。
我要说一句 收起回复

回复

 懒得打字嘛,点击右侧快捷回复【查看最新发布】   【应用商城享更多资源】
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

AI智能体
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:18.217.111.22,GMT+8, 2025-4-5 03:08 , Processed in 0.316364 second(s), 83 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2025 Discuz! Team.

关灯 在本版发帖
扫一扫添加微信客服
QQ客服返回顶部
快速回复 返回顶部 返回列表