3.4 版本似乎存在漏洞

zhansh · 发表于 2022-1-23 18:45:11

<?PHP exit;?>       UCenterAdministrator       ...       login       error: user=UCenterAdministrator; password=aa***6
<?PHP exit;?>       UCenterAdministrator       ...    app_add       appid=2; appname=a
<?PHP exit;?>       UCenterAdministrator       ...    app_delete       appid=2

程序没修改过，都是 3.4 原版 20211231 最新的程序UC密码也不是上面那个密码，但是被添加应用，日志如上，是什么问题呢？
难道 UC 可以存在两个登录密码吗？

我知道答案回答被采纳将会获得1 贡献已有27人回答

老周部落 · 发表于 2022-1-23 19:53:53

密码不对是添加不了的，另外添加应用的开关默认是关闭的，感觉还是密码被爆破了。

老周部落 · 发表于 2022-1-23 19:57:12

另外这个第一条日志是密码错误，估计不停尝试之后攻击者尝试到了正确的密码。

zhansh · 发表于 2022-1-23 20:42:43

老周部落发表于 2022-1-23 19:57
另外这个第一条日志是密码错误，估计不停尝试之后攻击者尝试到了正确的密码。 ...

老周讲的对，没有 login succeed 的记录，但是应用确有被添加和删除的记录，另外密码很复杂，爆破是不可能的，其他还植入了一些文件的，我的程序没改过是最新版，所以我觉得 UC 还是有漏洞。

老周部落 · 发表于 2022-1-23 20:48:57

zhansh 发表于 2022-1-23 20:42
老周讲的对，没有 login succeed 的记录，但是应用确有被添加和删除的记录，另外密码很复杂，爆破是不可 ...

如果您确定不是第三方插件引入或者之前攻击没清理干净的话，请上传 Web Server 、 PHP 、Discuz! 以及 UCenter 自身日志并设置 255 权限，我找人去看。

老周部落 · 发表于 2022-1-23 20:55:08

zhansh 发表于 2022-1-23 20:42
老周讲的对，没有 login succeed 的记录，但是应用确有被添加和删除的记录，另外密码很复杂，爆破是不可 ...

另外问一下网站之前有没有被日过，日过只有有没有完整清理网站完了重装服务器再上线？

zhansh · 发表于 2022-1-23 21:59:24

老周部落发表于 2022-1-23 20:48
如果您确定不是第三方插件引入或者之前攻击没清理干净的话，请上传 Web Server 、 PHP 、Discuz! 以及 UC ...

整理了下WEB日志及活动见附件，UC的就是上面那些，别的日志都正常的

zhansh · 发表于 2022-1-23 22:00:45

老周部落发表于 2022-1-23 20:55
另外问一下网站之前有没有被日过，日过只有有没有完整清理网站完了重装服务器再上线？ ...

以前也有，但是文件都重新传过，清理干净了的，谢谢老周，有空帮分析下，谢谢！

老周部落 · 发表于 2022-1-24 08:03:22

zhansh 发表于 2022-1-23 21:59
整理了下WEB日志及活动见附件，UC的就是上面那些，别的日志都正常的

收到，我找人去下载，可能时间略长，您耐心等待。

老周部落 · 发表于 2022-1-24 18:30:27

zhansh 发表于 2022-1-23 22:00
以前也有，但是文件都重新传过，清理干净了的，谢谢老周，有空帮分析下，谢谢！ ...

您好，帮您核实完了。主要是怀疑 uc_server/data/config.inc.php 的 UC_KEY 以及应用的 UC_KEY 已被黑客知晓导致的。
建议您重新生成新的 KEY 替换。

[已处理] 3.4 版本似乎存在漏洞

产品服务

开发者服务

使用教程