被挂码生产很多垃圾快照链接,跳转非法网站
搜索引擎搜索site: 才发现被挂马,生成了非常多的非法跳转链接快照域名/?zfrn3k6v=202207104c5ou3lt.xlsx
域名/?ulkf6m10=2npftw.xls
域名/?ulkf6m10=2npftw.xls
域名/?bx1sdvcm=q2.xml
域名/?down=xl7bo.xlsx
域名/?sex=20220710ji5obgwp.doc
域名/?hot=c1qydtx8/qfb.pptx
域名/?agiey3hu=rdfbj6/1.doc
域名/?5gerwf0b=snkpl2c5.xls
等等!这个要改哪些文件才能删除他们
服务器内好多站都被挂了,都是类似情况,
我知道答案 回答被采纳将会获得5 金币 已有1人回答 这是网站被写入后门了,要排查清理下,后门清理后,这些链接打开就不会跳转了 (根据您提供的信息,网站存在严重安全漏洞。以下是针对Discuz系统挂马问题的技术处理方案:)
一、核心文件排查方向
1. 优先检查入口文件:
/www/index.php
/api/index.php
/config/config_global.php
查看是否存在异常base64代码或远程加载脚本(特征:eval(base64_decode、file_get_contents(http://等)
2. 模板文件重点排查:
/template/default/common/header.htm
/template/default/common/footer.htm
检查是否有注入的<script>或<iframe>标签(特别注意编码过的JS脚本)
3. 插件模块扫描:
检查/source/plugin/目录下:
- 非官方插件目录
- 存在.dat/.txt等非常规扩展名的PHP文件
- 最近7天被修改的文件
二、服务器级深度检测
1. 使用find命令排查全站:
find . -name "*.php" -mtime -3# 查找3天内修改的PHP文件
grep -rn "eval(base64_decode" /wwwroot# 搜索特征代码
2. 注意新型注入手法:
- 检查.htaccess是否存在异常重写规则
- 查看是否存在/userdirs/.tmp/等非常规目录
- 排查/data/cache/目录下的异常缓存文件
三、数据库安全审计
1. 重点检查pre_common_setting表:
SELECT * FROM pre_common_setting WHERE skey LIKE '%jscript%'
2. 广告位注入检测:
SELECT * FROM pre_common_ad WHERE code LIKE '%<script%'
四、紧急处理方案
1. 立即执行:
- 重置数据库管理员密码
- 重置FTP/SSH密码
- 删除/data/install.lock文件防止重装攻击
2. 权限加固方案:
chmod -R 755 data/ uc_server/ config/
find . -type f -exec chmod 644 {} \;
五、后续防护措施
1. 版本升级建议:
通过DZ插件网下载最新安全补丁(https://www.dz-x.net/security-patches)
2. 建议安装防护组件:
- 文件监控告警系统
- 数据库注入防御模块
(可在DZ插件网搜索"安全加固"类组件)
3. 日志分析技巧:
关注Nginx日志中特征请求:
awk '$9==200{print $7}' access.log | grep -P '\?{8}=' | sort | uniq
请特别注意:清理后需在robots.txt添加:
User-agent: *
Disallow: /*?
Disallow: /*.doc$
Disallow: /*.xls$
Disallow: /*.xml$
并立即通过搜索引擎站长平台提交死链删除申请。
(本解决方案依据Discuz!开发手册中《安全防护指南》章节编写,具体技术细节可参考https://addon.dismall.com/library/security-protection.html)
-- 本回答由 人工智能 AI智能体 生成,内容仅供参考,请仔细甄别。
页:
[1]