编程之家 52php.cn 近日网上看到越来越多的站长报告说自己的论坛被人放了 Webshell 甚至挂马,起初没在意,但令我诧异的是,今天我在本机的dz的根目录也发现了一个Webshell,接着检查了一下,发现 7dps.com,7drc.com,乃至 discuz.net 也中招了!
由此可见,这个可能存在的漏洞造成的危害是极其严重的,通过利用在服务器中生成的 Webshell,黑客可以用它来挂马、修改数据乃至清空整个论坛数据! 请每个看到这个帖子的站长立即检查论坛下面有没有以下文件,如果有,请立即删除!
./usergroup_0.php
./forumdata/cache/usergroup_0.php
除此之外,如果发现论坛有字体变大等现象,请进入后台 风格管理 的高级模式,检查有没有异常的 自定义模板变量,有则删除之并更新论坛缓存!
如果发现了上述恶意文件,请删除后检查论坛模板,查看是否被人挂马等. 删除文件后,请密切关注这些异常文件是否会再次出现.
官方已在下载服务器上发布补丁,请点击这里下载安装.
=========================================
下面发布一个我写的扫描程序,它可以扫描出论坛中 usergroup_*.php、style_*.php 等缓存文件是否有 Webshell,附件目录是否存在 php/asp 文件,模板中是否有外链存在 (有外链则表示有可能被挂马),以及 stylevars 表中的非法数据.
如果比较懒的朋友可以用这个程序对论坛进行一次扫描. 使用方法很简单,下载后解压缩并将 scansw.php 上传至论坛根目录,打开后选择需要扫描的项目并点击开始扫描即可.
scanws.rar (4.17 KB)
这个程序不会改动任何论坛数据,只对目前存在的问题做出建议,不会对论坛产生任何影响.
扫描结果可能存在误差,请进行任何改动前都要备份文件!
使用完毕后请删除此程序文件,最好再在这里回个帖子帮顶一下.
提示:
如果扫描程序提示需要到后台执行一段sql代码的话,请一定要根据提示操作! 如果有这个提示出现,我相信您的站点必定出现过字体变大的奇怪现象! 只是当初很多人没有意识到这个问题的严重性! 执行sql后请更新论坛的缓存,如果您关闭了该风格,可以再次开启它.
使用 PHP4 的站长请重新下载程序.
更新:
1. 增加扫描附件目录中是否有 php/asp 文件
2. 增加安全外链忽略功能 (可编辑 $safeurls 增加)
3. 扫描结束后如果没有发现任何危险代码做出安全显示
4. 由于 PHP4 不支持 DOM,PHP5 以下版本自动关闭扫描模板功能
程序使用的是DOM来扫描htm文件,检测 之间的内容是否有外链,所以,这程序除了检测这次的Webshell之外,平时下载插件或者风格后在安装之前也可以扫一下下载的东西安不安全.