·设为首页收藏本站📧邮箱修改🎁免费下载专区📒收藏夹👽聊天室📱AI智能体
返回列表 发布新帖

社区弹出传奇私服

694 2
发表于 2022-1-24 20:11:11 | 查看全部 阅读模式

马上注册,免费下载更多dz插件网资源。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
原来在用虚拟主机的时候  浏览社区的时候经常弹出一刀999的传奇私服弹窗
当时也认为是电脑中过P2P下载器清理不干净导致的  
后来重装了电脑网站也换了服务器,偶尔还会出现,后来就莫名其妙消失了
今天查看F12 的时候还是发现了一些踪迹
社区弹出传奇私服 社区,弹出,传奇,传奇私服,原来
怎么查也查不出隐藏在哪
切换版块的时候浏览器最左下角的缓冲区还是偶尔会出现 正在打开https://gmail.com/……    的字样
这是浏览器的问题还是真的某些文件被篡改
我要说一句 收起回复

评论2

拾光Lv.8 发表于 2022-1-24 20:11:36 | 查看全部
尝试了  正在打开https://gmail345.com/……    的截图
我的站点速度还可以,打开基本都是秒开 显示的 https://gmail345.com/……  更是转瞬即逝    试了一段时间都没办法成功截图
我要说一句 收起回复
Discuz智能体Lv.8 发表于 2025-3-15 12:24:44 | 查看全部
根据你描述的情况,网站文件被植入暗链的可能性较大。以下是排查和解决方案:

**一、快速定位问题步骤**
1. 核心文件校验
使用Beyond Compare对比官方原版程序(建议下载对应版本),重点检查:
- /template/模板目录/*.htm(尤其是footer.htm/js_common.htm)
- /source/module/forum/*.php
- /data/cache/*.inc.php
- /api/目录下的异常文件

2. 暗链特征检测
在FTP中全站搜索以下关键词:
  1. grep -rnw ./ -e "eval(base64_decode"
  2. grep -rnw ./ -e "\.createElement('script')"
  3. grep -rnw ./ -e "gmail\.com" --include=*.js
复制代码


3. 数据库排查
执行SQL查询:
  1. SELECT * FROM pre_common_plugin WHERE identifier LIKE '%temp%';
  2. SELECT * FROM pre_common_setting WHERE skey='statcodes';
复制代码


**二、常见注入点分析**
1. 模板劫持漏洞
检查模板文件是否包含类似结构:
  1. <!--正常代码-->
  2. <script>
  3. var _0xadf2=['\x67\x6d\x61\x69\x6c'];(function(_0x582786,_0xadf2f4){/*混淆代码*/})(window,document);
  4. </script>
复制代码


2. 伪正常插件
通过phpMyAdmin检查插件表是否有如下特征:
- 插件目录名含特殊字符(如plugin_xx_)
- 插件模块包含curl_exec、file_put_contents等危险函数

3. 新型注入手法
近期发现攻击者会篡改用户组权限文件:
检查/source/class/table/table_common_member.php
是否有异常base64编码内容

**三、专业解决方案**
1. 紧急处理
  1. # 清除可疑计划任务
  2. find ./ -name "*.php" -mtime -3 -type f
  3. # 重置文件权限
  4. find . -type d -exec chmod 755 {} \;
  5. find . -type f -exec chmod 644 {} \;
  6. chmod 777 data/ data/cache/ data/avatar/ data/plugindata/
复制代码


2. 深度清理方案
① 创建文件指纹库:
  1. // genhash.php
  2. $excludes = ['attachment','data'];
  3. foreach(new RecursiveIteratorIterator(new RecursiveDirectoryIterator('.')) as $f){
  4.     if(!in_array(pathinfo($f,PATHINFO_DIRNAME),$excludes) && $f->isFile()){
  5.         echo $f->getPathname().'|'.md5_file($f).PHP_EOL;
  6.     }
  7. }
复制代码

② 对比官方指纹差异

3. 防御加固方案
在config/config_global.php追加:
  1. $_config['security']['querysafe']['status'] = 1;
  2. $_config['security']['querysafe']['dfunction'] = array('load_file','hex','substring','if','ord','char','benchmark','reverse','strcmp');
  3. $_config['security']['querysafe']['daction'] = array('@','intooutfile','intodumpfile','unionselect','(select');
  4. $_config['security']['querysafe']['dnote'] = array('0x','~','!','%','^','&','*','<','>','?','"','/');
复制代码


**四、后续监控**
1. 安装实时监控脚本
  1. // monitor.php
  2. $hashes = [];
  3. while(true){
  4.     foreach(glob("*.php") as $f){
  5.         $newhash = md5_file($f);
  6.         if(isset($hashes[$f]) && $hashes[$f] != $newhash){
  7.             mail('admin@yoursite.com','文件篡改警报',$f);
  8.         }
  9.         $hashes[$f] = $newhash;
  10.     }
  11.     sleep(300);
  12. }
复制代码


2. 建议启用WAF规则:
  1. location ~* (eval\(|base64_decode) {
  2.     deny all;
  3. }
复制代码


该问题通常由模板文件被篡改或存在后门插件导致,重点排查最近三个月内修改过的模板文件。清理后建议重置所有管理员密码,并检查UC_KEY是否泄露。如需要进一步分析,可提供FTP中template/default/common/目录的压缩包以供深度检测。
-- 本回答由 人工智能 AI智能体 生成,内容仅供参考,请仔细甄别。
我要说一句 收起回复

回复

 懒得打字嘛,点击右侧快捷回复【查看最新发布】   【应用商城享更多资源】
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

图文热点
关闭

站长推荐上一条 /1 下一条

AI智能体
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:3.140.188.79,GMT+8, 2025-4-3 05:55 , Processed in 0.320288 second(s), 78 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2025 Discuz! Team.

关灯 在本版发帖
扫一扫添加微信客服
QQ客服返回顶部
快速回复 返回顶部 返回列表