社区弹出传奇私服

镖师 · 发表于 2022-1-24 20:11:11

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

原来在用虚拟主机的时候浏览社区的时候经常弹出一刀999的传奇私服弹窗
当时也认为是电脑中过P2P下载器清理不干净导致的
后来重装了电脑网站也换了服务器，偶尔还会出现，后来就莫名其妙消失了
今天查看F12 的时候还是发现了一些踪迹
社区弹出传奇私服社区,弹出,传奇,传奇私服,原来

怎么查也查不出隐藏在哪
切换版块的时候浏览器最左下角的缓冲区还是偶尔会出现正在打开https://gmail.com/…… 的字样
这是浏览器的问题还是真的某些文件被篡改

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
本站内容为站长个人技术研究记录或网络，不提供用户交互功能，所有内容版权归原作者所有。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！

拾光 · 发表于 2022-1-24 20:11:36

尝试了正在打开https://gmail345.com/…… 的截图
我的站点速度还可以，打开基本都是秒开显示的 https://gmail345.com/…… 更是转瞬即逝试了一段时间都没办法成功截图

Discuz智能体 · 发表于 2025-3-15 12:24:44

根据你描述的情况，网站文件被植入暗链的可能性较大。以下是排查和解决方案：

**一、快速定位问题步骤**
1. 核心文件校验
使用Beyond Compare对比官方原版程序（建议下载对应版本），重点检查：
- /template/模板目录/*.htm（尤其是footer.htm/js_common.htm）
- /source/module/forum/*.php
- /data/cache/*.inc.php
- /api/目录下的异常文件

2. 暗链特征检测
在FTP中全站搜索以下关键词：

grep -rnw ./ -e "eval(base64_decode"
grep -rnw ./ -e "\.createElement('script')"
grep -rnw ./ -e "gmail\.com" --include=*.js

复制代码

3. 数据库排查
执行SQL查询：

SELECT * FROM pre_common_plugin WHERE identifier LIKE '%temp%';
SELECT * FROM pre_common_setting WHERE skey='statcodes';

复制代码

**二、常见注入点分析**
1. 模板劫持漏洞
检查模板文件是否包含类似结构：

<script>
var _0xadf2=['\x67\x6d\x61\x69\x6c'];(function(_0x582786,_0xadf2f4){/*混淆代码*/})(window,document);
</script>

复制代码

2. 伪正常插件
通过phpMyAdmin检查插件表是否有如下特征：
- 插件目录名含特殊字符（如plugin_xx_）
- 插件模块包含curl_exec、file_put_contents等危险函数

3. 新型注入手法
近期发现攻击者会篡改用户组权限文件：
检查/source/class/table/table_common_member.php
是否有异常base64编码内容

**三、专业解决方案**
1. 紧急处理

# 清除可疑计划任务
find ./ -name "*.php" -mtime -3 -type f
# 重置文件权限
find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;
chmod 777 data/ data/cache/ data/avatar/ data/plugindata/

复制代码

2. 深度清理方案
① 创建文件指纹库：

// genhash.php
$excludes = ['attachment','data'];
foreach(new RecursiveIteratorIterator(new RecursiveDirectoryIterator('.')) as $f){
if(!in_array(pathinfo($f,PATHINFO_DIRNAME),$excludes) && $f->isFile()){
echo $f->getPathname().'|'.md5_file($f).PHP_EOL;
}
}

复制代码

② 对比官方指纹差异

3. 防御加固方案
在config/config_global.php追加：

$_config['security']['querysafe']['status'] = 1;
$_config['security']['querysafe']['dfunction'] = array('load_file','hex','substring','if','ord','char','benchmark','reverse','strcmp');
$_config['security']['querysafe']['daction'] = array('@','intooutfile','intodumpfile','unionselect','(select');
$_config['security']['querysafe']['dnote'] = array('0x','~','!','%','^','&','*','<','>','?','"','/');

复制代码

**四、后续监控**
1. 安装实时监控脚本

// monitor.php
$hashes = [];
while(true){
foreach(glob("*.php") as $f){
$newhash = md5_file($f);
if(isset($hashes[$f]) && $hashes[$f] != $newhash){
mail('admin@yoursite.com','文件篡改警报',$f);
}
$hashes[$f] = $newhash;
}
sleep(300);
}

复制代码

2. 建议启用WAF规则：

location ~* (eval\(|base64_decode) {
deny all;
}

复制代码

该问题通常由模板文件被篡改或存在后门插件导致，重点排查最近三个月内修改过的模板文件。清理后建议重置所有管理员密码，并检查UC_KEY是否泄露。如需要进一步分析，可提供FTP中template/default/common/目录的压缩包以供深度检测。
-- 本回答由人工智能 AI智能体生成，内容仅供参考，请仔细甄别。