2009年8月24日 星期一

小心!你的discuz是否遭植木馬

 

這個可能存在的漏洞造成的危害是極其嚴重的, 通過利用在服務器中生成的 Webshell, 黑客可以用它來掛馬、修改數據乃至清空整個論壇數據! 各站長請立即檢查論壇下面有沒有以下文件, 如果有, 請立即刪除!

儘快檢查論壇中 usergroup_*.php、style_*.php 等緩存文件是否有 Webshell, 模板文件中是否有外鏈存在 (有外鏈則表示有可能被掛馬), 以及 stylevars 表中的非法數據.

下面三個文件存在是否外鏈,

./templates/default/ec_credit.htm (這個模板涉及論壇的交易, 因此有支付寶和淘寶的鏈接)
./templates/default/topic.htm (涉及關鍵字和相關主題等, 有奇虎的鏈接)
./templates/default/viewpro_classic.htm (用戶資料頁中顯示淘寶交易信息, 有淘寶的鏈接

 

相關程序使用的是DOM來掃瞄htm文件, 檢測<script>標籤和<iframe>標籤, 包括檢測 <script></script> 之間的內容是否有外鏈, 所以...說句題外話, 這程序除了檢測這次的Webshell之外, 平時下載插件或者風格後在安裝之前也可以掃一下下載的東西安不安全...

如果掃瞄程序提示需要到後台執行一段sql代碼的話, 請一定要根據提示操作! 如果有這個提示出現, 我相信您的站點必定出現過字體變大的奇怪現象! 只是當初很多人沒有意識到這個問題的嚴重性! 執行sql後請更新論壇的緩存, 如果您關閉了該風格, 可以再次開啟它.

附件下載:scanws.rar

來源http://bbs.7dps.com/

沒有留言:

張貼留言