DZ3.5版本存在木马程序？？？

白天也懂夜的黑

各位老师好。我今日使用宝塔的“网站安全检测”对我的站点进行扫描后，提示我的站点存在2个木马程序，建议我删除。
其中的一个“木马程序”是我下载官方DZ3.5版本程序中自带的，文件名及路径为/upload/source/plugin/witframe_api/page.remote.php
不知道这是什么情况：是这个文件真的存在问题，还是宝塔的“网站安全检测”误报了？
希望官方开发人员检查下分析下，谢谢。

我知道答案 回答被采纳将会获得1 贡献 已有10人回答

湖中沉

这种“安全扫描”信它就见鬼了，机械式扫描，又不会前后文判断的

白天也懂夜的黑

湖中沉 发表于 2024-5-31 08:37
这种“安全扫描”信它就见鬼了，机械式扫描，又不会前后文判断的

你好，就是说这个文件没有问题，是宝塔那边误报了，是吗。


我将该文件代码粘贴过来了，麻烦你看下哈。

1. <?php
   
2. 
   
3. chdir('../../../');
   
4. 
   
5. define('IN_WITFRAME_API_REMOTE', 1);
   
6. define('DISCUZ_OUTPUTED', 1);
   
7. define('IN_WITFRAME_API_REMOTE_DEBUG', !empty($_GET['_debug']) ? 1 : 0);
   
8. 
   
9. 
   
10. require_once './source/plugin/witframe_api/class/remote.class.php';
    
11. 
    
12. if (!empty($_POST)) {
    
13.         $r = new WitClass\Remote();
    
14.         if (empty($_POST['_script_'])) {
    
15.                 $r->output(array(
    
16.                         'ret' => -1,
    
17.                 ));
    
18.         }
    
19. 
    
20.         if (!preg_match('/^\w+$/', $_POST['_script_'])) {
    
21.                 $r->output(array(
    
22.                         'ret' => -2,
    
23.                 ));
    
24.         }
    
25. 
    
26.         $script = $_POST['_script_'];
    
27.         $session = !empty($_POST['_session_']) ? $_POST['_session_'] : '';
    
28.         if (!$r->check($script . $session)) {
    
29.                 $r->output(array(
    
30.                         'ret' => -4,
    
31.                 ));
    
32.         }
    
33. 
    
34.         $output = !empty($_POST['_output_']) ? $_POST['_output_'] : array();
    
35.         $rawOutput = !empty($_POST['_raw_']);
    
36.         $_GET = $r->paramDecode('_get_');
    
37.         $cookies = $session ? $r->sessionDecode($session) : array();
    
38.         foreach ($cookies as $k => $v) {
    
39.                 $_COOKIE[$k] = $v;
    
40.                 setcookie($k, $v);
    
41.         }
    
42.         $_POST = $r->paramDecode('_post_');
    
43. 
    
44.         $shutdownFunc = 'showOutput';
    
45.         if($rawOutput) {
    
46.                 $shutdownFunc = 'rawOutput';
    
47.         } elseif($output) {
    
48.                 $shutdownFunc = 'convertOutput';
    
49.         }
    
50. 
    
51.         register_shutdown_function(array($r, $shutdownFunc), $output);
    
52. 
    
53.         try {
    
54.                 require './' . $script . '.php';
    
55.         } catch (Exception $e) {
    
56.                 $r->output(array(
    
57.                         'ret' => -3,
    
58.                 ));
    
59.         }
    
60. } else {
    
61.         $_GET['id'] = 'witframe_api:api';
    
62.         require './plugin.php';
    
63. }

复制代码

湖中沉

白天也懂夜的黑 发表于 2024-5-31 08:44
你好，就是说这个文件没有问题，是宝塔那边误报了，是吗。

不用复制出来，只要是官方发的包，不是第三方下载的，就完全不用担心，开源的产品，一大堆白帽子黑客盯着，放木马？想啥呢……是嫌帽子叔叔们不上门嘛？

白天也懂夜的黑

湖中沉 发表于 2024-5-31 08:47
不用复制出来，只要是官方发的包，不是第三方下载的，就完全不用担心，开源的产品，一大堆白帽子黑客盯着 ...

原则上是的，我们慎重一点也没坏处哈。我跟宝塔那边反馈下，误报太吓人了。

湖中沉

白天也懂夜的黑 发表于 2024-5-31 08:53
原则上是的，我们慎重一点也没坏处哈。我跟宝塔那边反馈下，误报太吓人了。 ...

这种所有在线检测的，均不可靠，人家会告诉你，只是提示你风险，让你进一步查看，根本不会对此负责的……

对于这种检测，最好的做法就是无视，现在的检测都是机械式的检测有没有某些关键词，有这个关键词，就是风险，比如你这代码里有个“shutdowm”，他可能就当成是关机的恶意代码了……但人家根本不是这作用，所以信它就很扯

白天也懂夜的黑

湖中沉 发表于 2024-5-31 08:55
这种所有在线检测的，均不可靠，人家会告诉你，只是提示你风险，让你进一步查看，根本不会对此负责的……
...

这样啊，你说没有问题那我就放心了，谢谢哈。

huyuzhe

所有都要自己甄别，如果是小白多玩个十年八年也有经验了。
1.我是第一先检查修改记录的文件；
2.检查discuz程序之外的附加目录及文件；
3.避开二开覆盖管方文件；
4.查看陌生文件；

这四个基本能解决大部分问题。我遇到过把木马挂到了我一个不用的附加目录里，然后定期给我挂马加代码，找人清理要500没做，自己地毯式搜索，分段覆盖文件，再分离与discuz以外的独立文件，就完全解决了。

白天也懂夜的黑

huyuzhe 发表于 2024-5-31 15:54
所有都要自己甄别，如果是小白多玩个十年八年也有经验了。
1.我是第一先检查修改记录的文件；
2.检查discuz ...

厉害。

crx349

插件行为命中了扫描器的 关键字 wiframe插件 官网下的没问题 建议对比下