ucenter可能有任意文件读写漏洞,可以任意写入文件。
data/logs等有写入权限的目录可能会被人插入一句话木马。
攻击者可能会把木马的文件名、修改时间都做得和普通文件很像,例如default.php或者upgrade.php等。
升级(意味着所有的插件和皮肤都要重做)。
更换论坛程序(重做+数据迁移)。
另外所有用户的密码最好重置一下。
1
siw 2014-02-09 14:27:01 +08:00 1
给出网址 :)
nginx log ? |
2
lvye 2014-02-09 14:38:33 +08:00 1
discuz x3.1前一段时间出过一个漏洞:Discuz! x3.1的插件/utility/convert/index.php存在代码执行漏洞
如果存在这个文件,当时没有删除,那么很有可能被入侵后,又被人植入了后门。 给以下建议: 1.禁掉root账号,只用key登录服务器 2.重新下载最新的discuz x3.1安装一遍 3.nginx用普通权限运行 4.discuz目录权限重新设定 5.如果不嫌麻烦,admin.php可以更改一下文件名,譬如!asdsff.php 一定要查原因就只能看日志了,查找admin.php的登录情况 |
3
chairuosen 2014-02-09 14:55:03 +08:00 1
管理员自己的电脑呢?
|
4
msg7086 OP @siw 网址什么的不合适吧。nginx log挺长的,粗看没看出什么。
@lvye 这个文件似乎没有上传到服务器上过。admin.php的log我再去查查 -_- @chairuosen 我去问问 - - |
5
victor 2014-02-09 15:38:00 +08:00 1
discuz 有一些0day漏洞,你通过下载官方的最新版是绝对堵不住这些漏洞的。
因为那些漏洞还没被官方发现呢。。。。。。 |
6
zeinima 2014-02-09 15:43:49 +08:00
dz看起来好危险的样子
|
7
Radeon 2014-02-09 15:45:28 +08:00 1
1. 加SELinux/AppArmor防止远程劫持apache进程
2. 用大众论坛代码永远会有0-day。最好自己写,注意不要有SQL Injection漏洞,尤其是在实现多关键字查询功能时 3. 另外远程管理的机器的浏览器专用,防止别人XSS |
8
Radeon 2014-02-09 16:15:39 +08:00 1
还有查一下后台系统的登录记录。看看是从哪里用什么方式登录的
|
9
justfindu 2014-02-09 16:19:50 +08:00
UC漏了吧 KEY被人发现了么
|
11
109109 2014-02-09 17:58:53 +08:00 1
>>登录论坛后台,执行各种操作
是只登陆了后台还是有获取了WEBSHELL的痕迹? 可以查找最新修改过的文件 论坛查log最方便。从登陆admin的log查起,看对应的登陆IP最开始的操作是什么。 密码全改过,仍能被登陆后台,这可以看其他管理层的密码是否被二次修改过,可以确定个大概方向 |
12
msg7086 OP |
13
blacktulip 2014-02-09 21:05:34 +08:00 via iPhone 1
用 dz 被黑是常态,没被黑才是反常中……
|
14
nazor 2014-02-09 21:36:50 +08:00 via Android 1
据之情人士透露,discuz系列存在多个0day,好多大站都被脱裤了。
|
15
chengxuan 2014-02-10 01:22:29 +08:00 1
1.建议关掉ftp在c段下可以嗅探。
2.dz有XSS可以截获cookie(这个算0day,大牛才会有) 3.不差钱,可以搞ssl 4.建议更改后台路径 5.还没想到,想到在告诉你吧,哈。。。 |
16
niseter 2014-02-10 01:42:51 +08:00 1
看起来问题在下面几个地方:
1.ssh要不是被MITM了,就是出各种问题了(比如被塞了证书) 2.ftp明码危险,万万小心。 3.问题最大就是DX程序本身,这个我只能说没办法。。。除非自己写,要不买商业授权 |
17
efi 2014-02-10 04:55:06 +08:00 2
现在严重缺log可查,是吧。各种可加的log很多,nginx加上全文log,mysql敏感表加上log,加上auditd查文件更改,log看能不能转发给容器host。沿着执行流程走一路下来各步加上log,不要说漏洞可查,连什么bug都查出来了。
|
18
justfindu 2014-02-10 09:35:08 +08:00 1
哦对了 3.1有一个soso表情漏洞~
|
19
saybye 2014-02-10 13:39:43 +08:00
DZ各种0day......
|