12下一页
返回列表 发帖
查看: 9500|回复: 12

[求助] 含代码的图片,也被扫出来了。

12

主题

31

回帖

58

积分

渐入佳境

贡献
0 点
金币
14 个
发表于 2020-3-12 17:44:26 | 显示全部楼层 |阅读模式


1112.jpg
左边是原图,右边是用二进制文本编辑器打开图片看到的内容,明显有脚本代码。

avatar.jpg
这是含脚本代码的图片,官方的似乎也能上传。

请教各位大神:

看截图这个图片里被坏人放进去代码了,如果才能让上传的文件自动去掉这些代码,或干脆不让上传!

另外就是已经上传的过的,如果才能让这些文件不会被执行?

还有就是这个代码想做什么呢?

原图在压缩文件中。

我知道答案 回答被采纳将会获得1 贡献 已有12人回答

avatar.zip

2.34 KB, 下载次数: 308

回复

使用道具 举报

49

主题

2194

回帖

3万

积分

管理员

贡献
33 点
金币
28579 个
发表于 2020-3-13 00:38:07 | 显示全部楼层
服务器图片文件夹设置好权限不允许执行就可以了
回复 支持 反对

使用道具 举报

12

主题

31

回帖

58

积分

渐入佳境

贡献
0 点
金币
14 个
 楼主| 发表于 2020-3-13 08:22:28 | 显示全部楼层
Killer 发表于 2020-3-13 00:38
服务器图片文件夹设置好权限不允许执行就可以了

设置了,也不行,插件目录呢?现在好多的插件都是加密的。
回复 支持 反对

使用道具 举报

49

主题

2194

回帖

3万

积分

管理员

贡献
33 点
金币
28579 个
发表于 2020-3-13 10:15:45 | 显示全部楼层
paladinet 发表于 2020-3-13 08:22
设置了,也不行,插件目录呢?现在好多的插件都是加密的。

首先,没多少插件是加密的,且应用中心审核时是看的源代码,不会有挂马行为的,请不必考虑这部分。

插件目录一般不存上传的图片,即便要存,也可以单独设置存图片的目录的权限,和加密与否根本也是无关的
回复 支持 反对

使用道具 举报

2

主题

1412

回帖

2043

积分

应用开发者

啦啦啦~

贡献
55 点
金币
320 个
发表于 2020-3-13 11:31:36 | 显示全部楼层
此类图片是通过什么渠道上传的?论坛附件?头像?

另外服务器正常做好安全配置的话,此类代码不会被执行,请知悉。

老周博客
本人不在任何渠道提供任何付费技术支持服务, 谨防上当受骗.
回复 支持 反对

使用道具 举报

14

主题

1791

回帖

2058

积分

应用开发者

discuz 老兵

贡献
8 点
金币
188 个
QQ
发表于 2020-3-13 12:04:32 | 显示全部楼层
关闭解析权限即可 吧DATA 相应的附件  拒绝执行的权限
回复 支持 反对

使用道具 举报

12

主题

31

回帖

58

积分

渐入佳境

贡献
0 点
金币
14 个
 楼主| 发表于 2020-3-13 15:11:43 | 显示全部楼层
Killer 发表于 2020-3-13 10:15
首先,没多少插件是加密的,且应用中心审核时是看的源代码,不会有挂马行为的,请不必考虑这部分。

插件 ...

1314的插件都是加密的。还有keke的!
回复 支持 反对

使用道具 举报

56

主题

1452

回帖

3万

积分

管理员

贡献
2072 点
金币
1383 个
发表于 2020-3-13 15:27:12 | 显示全部楼层
除非你服务器配置有问题,允许图片被当做php执行,否则不会有问题
回复 支持 反对

使用道具 举报

18

主题

1821

回帖

2736

积分

应用开发者

贡献
50 点
金币
574 个
QQ
发表于 2020-3-13 17:12:24 | 显示全部楼层
一般是挂马用的
无限星辰工作室  好集导航 免费API
服务Discuz建站|定制|小程序|APP定制|故障维修|搬家|运维|挂马清理|防护|性能优化|安全运维|
服务理念:专业 诚信 友好QQ842062626 服务
回复 支持 反对

使用道具 举报

0

主题

6

回帖

7

积分

初学乍练

贡献
0 点
金币
0 个
QQ
发表于 2020-3-13 21:14:42 | 显示全部楼层
没有办法禁止上传图片木马,因为需要上传图片功能

但是,不论是插件中的文件数据储存目录还是dz系统的data目录以及uc中的头像上传目录等,不论是在linux还是win系统中,都可以使用禁止脚本权限来限制该目录执行脚本文件权限,把上传目录当作静态文件输出目录即可,只允许读取就可以完美解决问题了,从源头上不给图片木马的提权机会。
QQ 1606990955  承接模板制作,dz插件,网站优化,seo推广,挂马清除,服务器安全。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

  • 关注公众号
  • 有偿服务微信
  • 有偿服务QQ

手机版|小黑屋|Discuz! 官方交流社区 ( 皖ICP备16010102号 |皖公网安备34010302002376号 )|网站地图|star

GMT+8, 2024-4-20 15:50 , Processed in 0.068047 second(s), 8 queries , Redis On.

Powered by Discuz! W1.0 Licensed

Cpoyright © 2001-2024 Discuz! Team.

关灯 在本版发帖
有偿服务QQ
有偿服务微信
返回顶部
快速回复 返回顶部 返回列表