3.4 版本似乎存在漏洞

老周部落

zhansh 发表于 2022-1-31 18:52
服务器9月坏了重新装过，也没乱装软件和插件，应该是没有问题的；attachment 目录设置的执行权限无，里面 ...

看您也懒的搞，直接给 uc_server/data/logs/201810.php 吧，现在看这个文件有问题。
另外两个 log 目录不会访问，直接做 403 吧。

zhansh

老周部落 发表于 2022-2-2 21:45
看您也懒的搞，直接给 uc_server/data/logs/201810.php 吧，现在看这个文件有问题。
另外两个 log 目录不 ...

不是懒呀，就是php不是很懂，辛苦老周朋友了，服务上早就没这个文件了，从早期的备份里好在找到了已上传，同时更改了下密码，谢谢！

老周部落

zhansh 发表于 2022-2-3 11:27
不是懒呀，就是php不是很懂，辛苦老周朋友了，服务上早就没这个文件了，从早期的备份里好在找到了已上传， ...

看到文件了，这个文件是带后门的，可以输出核心数据。
我又仔细比对了一下之前的文件，异常请求的时间和文件生成时间对比一致，但是原版程序是没有这些接口的，建议再着重排查一下底层环境以及插件，清理完成后再次修改各类 KEY 试试（X3.4 20220131 版本修改 KEY 体验会好一点，不过现在还在测试）。
另外建议后续跟进版本升级以免黑客通过漏洞再次攻击网站。

zhansh

老周部落 发表于 2022-2-3 14:15
看到文件了，这个文件是带后门的，可以输出核心数据。
我又仔细比对了一下之前的文件，异常请求的时间和文 ...

是密码泄露的原因吗，但是最近被注入的时候UC登录里都是失败的日志，并没有登录成功的日志，就是不知道文件是怎么写上去的。另外除了官方的qq登录也没有装过插件，版本也是最新的1231。这次根据您的建议又改了点东西，但是自己水平太差可能还会存在不到位的地方，后续还得继续观察，新版一直也都跟进的，谢谢老周，给您拜年了！

老周部落

zhansh 发表于 2022-2-3 17:21
是密码泄露的原因吗，但是最近被注入的时候UC登录里都是失败的日志，并没有登录成功的日志，就是不知道文 ...

密码泄露是有可能的，但是从日志里没看出来。QQ 登录太多网站在用了，有漏洞怕不是一片一片完蛋。
感觉还是要排查下环境问题，看您其他帖子说还在用 Server 2003 ，这个版本实在是太老了，不能排除是环境被打穿了导致的。

zhansh

老周部落 发表于 2022-2-3 18:02
密码泄露是有可能的，但是从日志里没看出来。QQ 登录太多网站在用了，有漏洞怕不是一片一片完蛋。
感觉还 ...

密码已经都改过了，服务器升级麻烦些，我观察段时间再看看，谢谢谢谢！

一苇过江

这种情况我也遇到过，后台有应用添加、删除的记录（主要好像还是头像上传夹带了马）。我现在都把ｕｃｅｎｔｅｒ下的admin和index改 名字，反正平时登录UCENTER也少。

zhansh

一苇过江 发表于 2022-2-10 14:18
这种情况我也遇到过，后台有应用添加、删除的记录（主要好像还是头像上传夹带了马）。我现在都把ｕｃｅｎｔ ...

很有可能的，谢谢！