DZ3.4 哪些文件会被通过上传头像等漏洞注入木马代码？

泰然自若

最近发现又有人通过修改个人资料 上传头像 修改资料之类的DZ漏洞来实现注入木马代码的非法企图。
木马文件会自动在根目录创建几个php页面，就是非法页面，幸亏被阿里云给阻挡了。


前天在 \api\connect  目录下发现过一个木马文件 what.php

将其删除后，昨天根目录没有新文件了

但是今天又发现根目录有这样的文件，所以应该又有注入？

查看 \api\connect  目录 下没有发现
应该是其它目录了

想请教大神：一般这样的注入，哪些目录或文件是最有可能的？
我还得去排查下。感谢

PS：大概每年都有2-3次这样的注入，然后一个个去找马，真心心累……

我知道答案 回答被采纳将会获得1 贡献 已有31人回答

Benisme

查看一下服务器日志吧。我也遇到过通过个人资料设置的上传文件功能上传木马的，但其实只要设置附件文件夹不允许执行php文件就没啥大碍。

泰然自若

Benisme 发表于 2019-7-1 18:35
查看一下服务器日志吧。我也遇到过通过个人资料设置的上传文件功能上传木马的，但其实只要设置附件文件夹不 ...

文件夹不允许执行php文件

请教，这个如何设置呢？
服务器日志看不懂啊。。。

ghz0433

Benisme 发表于 2019-7-1 18:35
查看一下服务器日志吧。我也遇到过通过个人资料设置的上传文件功能上传木马的，但其实只要设置附件文件夹不 ...

attachment默认设置权限是755 还是777

Benisme

泰然自若 发表于 2019-7-1 22:16
文件夹不允许执行php文件

请教，这个如何设置呢？

这个要看你服务器的环境。如果是用nginx，就在conf文件的server里加一段：

1. location ~* ^/data/attachment/.*.(php|php5)$ {
   
2.         deny all;
   
3. }

复制代码

你现在得先找到对方上传的伪装成图片的那个文件，不然光删除几个生成的木马文件没用，源头没找到，对方只要想再生成随时可以弄个。

Failure

排查后门，然后在补漏洞。

泰然自若

Benisme 发表于 2019-7-2 13:54
这个要看你服务器的环境。如果是用nginx，就在conf文件的server里加一段：

阿里云提示的都隔离了，还没清除完，现在又出现了。还得再查下。谢谢！

泰然自若

Failure 发表于 2019-7-2 16:25
排查后门，然后在补漏洞。

最新版的DZ了，就是通过是上传个人资料的漏洞。

Failure

个人上传漏洞？

crx349

泰然自若 发表于 2019-7-3 22:15
最新版的DZ了，就是通过是上传个人资料的漏洞。

应该已经上传木马 然后利用头像功能上传 木马哦
先检查dz代码是否完整 同时是否官方文件哦为记得x3.4的新版本有对uc的漏洞进行修补 可以升级看看