Discuz论坛被劫持挂马跳转的解决方案

如今使用discuz搭建网站得愈来愈多了,而且也经常出现了愈来愈多得安全问题。就在前两天,我闲来无事检测了下的古玩论坛公司网站的网站收录状况,莫名其妙发觉在各大百度搜索引擎里边的百度快照都转变成违规信息内容了。按照我已往的实践经验,没多久判定出是被域名劫持遭劫持了百度快照。我一直在以前的一篇文章中给大伙儿讲过域名劫持后的一点具体表现,例如在百度搜索引擎中网站收录的超链接文章标题都转变成了违规內容,殊不知同时浏览网页的情况下文章标题为没问题的。这种情况下你还可以去百度站长工具做下网站抓取检查,你就会发现百度爬虫网站抓取到的內容全部都是不正常的。

接下来我就要讲讲我这次的检查历经:

1、检测config_global.tp框架:

这种相关文件是discuz的环境变量,域名劫持者常常在这儿写进域名劫持信息内容。我发现了我的域名劫持信息内容就被写进在这儿了。

1.2、检查相关文件改动日期:

为何要检查相关文件改动日期?绝大多数域名劫持者全部都是在同一时间以内实现有关的域名劫持操控,而且木马程序后门相关文件绝大多数不仅仅还有一个,我们还可以按照这种日期来检查绝大多数的不正常相关文件。我这种相关文件是在2020年2月4日被改动的,我做了记录查询。

2、有关cms源码程序代码的最近的漏洞:

绝大多数,域名劫持全部都是使用网站源代码自身的的漏洞来实现的,尤其是专门针对常见的如织梦cms、discuz、phpwidn这一些多用途差的cms源码程序。我的古玩论坛使用的是discuzx3.2的版本,腾讯云服务器总是提醒存有uckey外泄的安全问题,而且我总是沒有下手去处理。按照这种的漏洞的思路,我登入了ucenter检查了ES中的安装程序,发觉多出不明的超链接。按照在网络上搜索到的uckey外泄获得webshell的教学视频,分析判断出古玩论坛的域名劫持是uckey外泄造成的。

3、明文密码造成被域名劫持:

侵入者要加上不明程序代码,必须先登入ucenter才还可以,那我觉得他是晓得我ucenter创办人登陆密码的。我根据UCenter后台管理的登入记录查询检查到,侵入者使用的恰好是我的创办人密码登录的。那麼就会有二种可能,一就是我的uckey外泄了,二就是我的登陆密码太简单了,被猜到了。

4、按方法步骤检查:

3.1:清理UCenter中的不明app:

既然如此晓得侵入者是使用uckey的漏洞实现黑客攻击的,那麼我首先要做的就是说将被加上的不明app从ucenter中清理。同时在UCenter中删除就可以。

9.6:删除config_global.tp框架环境变量中的域名劫持信息内容:

删除了域名劫持信息内容后,到百度站长工具里边去做网站抓取检查,你就会发现百度搜索网站抓取到的內容己经变没问题了。

4.3:使用discuz相关文件校检软件检查不正常相关文件:

discuz自身还有一个相关文件校检软件,还可以相对比较具体的给大家列出来被改动、新增加、不明的相关文件。上边我记录查询了config_global.tp框架相关文件被改动的日期,按照这种日期我检查上了被加上的别的域名劫持相关文件。这一些域名劫持相关文件都掩藏的相对比较深,绝大多数是在data文件目录、template等文件目录下,相对比较难检查到。

要是是在这种时间范围有过记录查询的相关文件,我都会逐一检查,基本上全部都是域名劫持相关文件。

4.1:使用网页访问安全日志检查:

我一直在方法步骤三中找到了绝大多数的域名劫持相关文件并删除后,认为安全问题己经处理。而且过去了一日后,公司网站百度快照又遭劫持了。那毫无疑问是还有域名劫持相关文件在网站服务器上边。

紧接着我检查了config_global.tp框架相关文件,又被改动了。我记录查询下这种日期,到nginx记录查询下的网页访问安全日志中去找这一阵子的公司网站浏览记录。

果真发现了别的掩藏的几个域名劫持相关文件,删除这几个域名劫持相关文件后,我又观测了一日,发觉沒有再被域名劫持了。

到在这里截止,我基本上将网站服务器上的域名劫持相关文件都清理了。如果不知道如何清理恶意后门代码以及修复网站的漏洞,可以找专业的网站安全公司来处理解决网站被劫持,篡改的问题,国内SINE安全,绿盟,启明星辰,深信服,鹰盾安全都是比较不错的。

5、怎样搞好安全防护:

解决问题了,但不确保日后不会还有,我们要防护于将来。

5.2:更新网站源代码到最新版:

以前由于相对比较懒,总是沒有将古玩网站从3.2更新到3.4,趁着这种安全问题,将网站源代码更新上了X3.4的最新版,现阶段X3.4已处理uckey外泄的安全问题。

5.2:改动uckey:

由于自身是由于uckey外泄造成的安全问题,因此必须要改动uckey。这种uckey改动的位置有两个地方,一个dicuz后台管理-网站运营者-UCenter设定中,一个是UCenter中的app里边改动。

5.2:删除UCenter中的admin.tp框架:

自身UCenter后台管理我们浏览的相对比较少,索性在不浏览UCenter后台管理的日期里,同时删除这种admin.tp框架相关文件,即便是uckey外泄了,侵入者也浏览不了UCenter后台管理。

分享: