当前位置:首页 > 网站运营 > 正文内容

记录分析我的discuz网站被挂马,快照被劫持的解决过程

葱子5年前 (2019-05-13)网站运营2942

就在前几天,我心血来潮检查了下的古玩论坛网站的收录情况,突然发现在各大搜索引擎里面的快照都变成违规信息了。根据我以往的经验,很快判断出是被挂马劫持了快照。 我在之前的文章中给大家讲过挂马后的一些表现,比如在搜索引擎中收录的链接标题都变成了违规内容,然而直接打开网站的时候标题为正常的。这个时候你可以去百度站长平台做下抓取诊断,你会发现百度蜘蛛抓取到的内容都是异常的。 下面我就讲下我此次的排查经过:

1、检查config_global.php:

这个文件是discuz的配置文件,挂马者经常在这里写入挂马信息。我发现我的挂马信息就被写入在这里了。
1.1、查看文件修改时间:
为什么要查看文件修改时间?一般挂马者都是在同一天之内完成相关的挂马操作,并且木马后门文件一般不止一个,我们可以根据这个时间来排查大部分的异常文件。我这个文件是在2019年5月4日被修改的,我做了记录。

2、关于CMS程序的最新漏洞:

一般来说,挂马都是利用网站程序本身的漏洞来进行的,特别是针对常用的如dede、discuz、phpwind通用型的CMS系统。我的古玩论坛使用的是discuz x3.2的版本,阿里云一直提示存在uckey泄露的问题,但是我一直没有着手去解决。 根据这个漏洞的线索,我登录了ucenter查看了UC中的应用程序,发现多了一个未知的链接。根据在网上查找到的uckey泄露获取webshell的教程,初步判断出古玩论坛的挂马是uckey泄露导致的。

3、弱密码导致被挂马:

入侵者要添加未知程序,必须先登录ucenter才可以,那想必他是知道我ucenter创始人密码的。我通过UCenter后台的登录记录查看到,入侵者使用的正是我的创始人密码登录的。那么就有两种可能,一是我的uckey泄露了,二是我的密码太弱,被猜出来了。

4、按步骤排查:

4.1:移除UCenter中的未知应用:
既然知道入侵者是利用uckey漏洞进行入侵的,那么我第一步要做的就是将被添加的未知应用从ucenter中移除。直接在UCenter中删除即可。

4.2:删除config_global.php配置文件中的挂马信息:
删除了挂马信息后,到百度站长里面去做抓取诊断,你会发现百度抓取到的内容已经变正常了。

4.3:利用discuz文件校验工具排查异常文件:
discuz本身有一个文件校验工具,可以比较详细的给我们列出被修改、新增、未知的文件。上面我记录了config_global.php文件被修改的时间,根据这个时间我排查到了被添加的其他挂马文件。这些挂马文件都隐藏的比较深,一般是在data目录、template等目录下,比较难排查到。 只要是在这个时间段有过记录的文件,我都一一查看,基本都是挂马文件。

4.4:利用网站访问日志排查:
我在步骤三中找出了大部分的挂马文件并删除后,以为问题已经解决。但是过了一天后,网站快照又被劫持了。那肯定是还有挂马文件在服务器上面。 接着我查看了config_global.php文件,又被修改了。我记录下这个时间,到nginx记录下的网站访问日志中去找这段时间的网站访问记录。 果然找到了其他隐藏的几处挂马文件,删掉这几处挂马文件后,我又观察了一天,发现没有再被挂马了。 到这里为止,我基本将服务器上的挂马文件都清除了。

5、如何做好防护:

问题解决了,但不保证以后不会再有,我们要防范于未来。

5.1:升级网站程序到最新版本:
之前由于比较懒,一直没有将古玩网站从3.2升级到3.4,借着这个问题,将网站程序升级到了X3.4的最新版本,目前X3.4已解决uckey泄露的问题。

5.2:修改uckey:
因为本身是由于uckey泄露导致的问题,所以一定要修改uckey。这个uckey修改的地方有两处,一处dicuz后台-站长-UCenter设置中,一处是UCenter中的应用里面修改。

5.3:删除UCenter中的admin.php:
本身UCenter后台我们访问的比较少,干脆在不访问UCenter后台的时间里,直接删掉这个admin.php文件,即使uckey泄露了,入侵者也访问不了UCenter后台。

以上便是我这次解决discuz网站快照劫持的部分思路。 针对discuz快照劫持的问题,我之前也写过好几篇类似的文章,感兴趣的也可以多看看。

扫描二维码推送至手机访问。

版权声明:本文由葱子博客发布,如需转载请注明出处。

本文链接:https://www.aitiancheng.com/article-1523.html

相关文章

寂寞河社区完成https改造 顺利通过百度站长https认证

寂寞河社区完成https改造 顺利通过百度站长https认证

寂寞河社区是我的一个客户的运营项目,主要是图片交流社区。 客户的需求主要有几点: 1、服务器环境配置: discuz是基于php的应用,所以需要配置php的运行环境。 在这次配置中,我采用了IIS+PHP5....

discuz网站被挂马,非管理员访问自动跳转到广告页面 怎么解决

discuz网站被挂马,非管理员访问自动跳转到广告页面 怎么解决

你是否遇到过你的网站打开一会就自动跳转到其他页面,而且这个问题是你的用户告诉你的,而你自己却没有遇到? 经过葱子我细心的对挂马网站做排查,终于让我找到了问题所在。 挂马者是通过在discuz的头部js文件里面添加了劫持js代...

wcdp下phpmyadmin无法正常使用的问题解决办法

wcdp下phpmyadmin无法正常使用的问题解决办法

在使用wdcp管理面板过程中,你是否遇到过种问题? 从wdcp后台进入phpmyadmin,提示如下错误: 这里提供一种解决方法: 1、首先进入wdcp找到MySQL管...

案例分享:网站被植入projectpoi挖矿脚本导致CPU100%的解决办法

案例分享:网站被植入projectpoi挖矿脚本导致CPU100%的解决办法

最近在帮北安味道的站长排查他网站的问题:访问他网站后,浏览网站的电脑CPU使用将达到100%。   猜想应该是网页上被植入了恶意的js文件。 通过使用F12排查异常js文件发现,有个叫做projectpoi.m...

CentOS 6.5下修改文件夹权限和用户名用户组

最近在部署网站的时候遇到以下问题,网站根目录的用户组是root,根目录下的其他文件夹用户组是www,导致网站程序无法在网站根目录下创建新文件夹。 要解决这个问题,就需要把网站根目录的用户组修改为www。  具体...

案例分享:创意思想网整体搬家到阿里云ECS服务器并配置全站https

近期服务了一位客户,在这里具体给大家讲下实施过程。 一、客户网站介绍: 创意思想网基于discuz X3.2,搬家前搭建在阿里云虚拟主机上。 二、本次服务的主要目的有: 1、配置ECS服务器环境:基于w...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。