discuz 被入侵后,最可能被修改的文件

最近发现站点被黑了,现在还不知道是由系统漏洞导致的系统账户被攻陷,还是程序漏洞,文件被篡改。有一些敏感关键词(例如:赌博,电子路单)被恶意指向,点击搜索结果自动跳转到其他站点,而且是大量的,通过搜索“site:xxx.com 赌博”,会发现一大堆。该目的是为该站点导流量,还有传递权重。

为了防止暴露,入侵者会把被篡改的文件时间戳保持不变,所以通过修改时间是发现不到可疑文件的

现在解决办法只限于,查找程序源码,一个一个文件对比最初的文件,最后发现有两个文件最重要,如下:

  1. source/function/function_core.php
  2. uc_server/control/admin/user.php

因为这两个文件,一个是所有页面都会包含,另一个是ucenter管理用户的时候登陆,账号和密码以及安全问题都获得。

遇到相同问题的朋友,请首先查看这两个文件是否被修改。

还有就是系统的虚拟内存是否有东西,ls -a /dev/shm/ 例如:三个点的... 的隐藏文件

顺便举报一些黑站:

  • mujj.wang
时间: 2024-10-13 04:48:50

discuz 被入侵后,最可能被修改的文件的相关文章

使用WSGIServer修改静态文件

背景:公司水务项目要求提供一个以POST方法修改静态文件的接口,由于nginx已经关闭了对POST方法的支持,并且开启POST方法后也无法去修改静态文件,所以需要额外的一个api接口去修改,而python的WSGIServer正好适用 一.使nginx支持POST方法 1.下载nginx的tar包:http://nginx.org/download/nginx-1.15.9.tar.gz 2.解压tar包后,修改src/http/modules/ngx_http_static_module.c文

Linux主机被入侵后的处理案例

一次Linux被入侵后的分析 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Linux系统下最常见的攻击手段和攻击方式. 1.受攻击现象 这是一台客户的门户网站服务器,托管在电信机房,客户接到电信的通知:由于此服务器持续对外发送数据包,导致100M带宽耗尽,于是电信就切断了此服务器的网络.此服务器是Centos5.5版本,对外开放了80.22端口.从客户那里了解到,网站的访问量并不大,所以带宽占用也不会太高,而耗尽100M的带宽是绝对不可能的,

服务器被入侵后的故障检测思路

下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Linux系统下最常见的攻击手段和攻击方式. 1.受攻击案例描述 这是一台客户的门户网站服务器,托管在电信机房,客户接到电信的通知:由于此服务器持续对外发送数据包,导致100M带宽耗尽,于是电信就切断了此服务器的网络.此服务器是Centos5.5版本,对外开放了80.22端口. 从客户那里了解到,网站的访问量并不大,所以带宽占用也不会太高,而耗尽100M的带宽是绝对不可能的,那么极有可能是服务器遭受

discuz手机版图片缩略图大小设置/修改清晰度

discuz手机版 图片缩略图大小设置/修改清晰度 \template\default\mobile\forum\discuzcode.htm和 \template\default\touch\forum\discuzcode.htm 找到discuzcode.htm文件,搜索"200"会有两处代码如下 function imagelist($attach) { global $_G;$attach['refcheck'] = (!$attach['remote'] &&

C#中修改Dll文件 (反编译后重新编译)

Dll文件生成后,如没有源代码,又要修改其中内容 可以用微软自带的ildasm和ilasm程序 先用ildasm将dll文件反编译成il文件 ildasm Test.dll /out=Test.il 会生成Test.res和Test.il两个文件 il文件可以用文本编辑器修改,要注意其中的语法 改完后再用ilasm将il文件重新编译成dll文件 ilasm /dll /res:Test.res Test.il /out:Test.dll 本人测试时因为ildasm和ilasm程序都是从网上下载来

公司服务器被黑客入侵后你要如何处理?

第一步:断网,无线和有线的都要断开 第二步:分析登录文件信息,搜索可能侵入的途径 被入侵后,决不是重新安装就可以了,还要分析主机被入侵的原因和途径,如果找出了问题点,就可能使您的主机以后更安全,同时也提高了自己的Linux水平. 如果不知道如何找出入侵途径,下次还有可能发生同样的事.一般: (1).分析登录文件:可以通过分析一些主要的登录文件找到对方的IP以及可能出现的漏洞.一般分析的文件为:/var/log/messages和/var/log/secure文件.还可以使用last命令找出最后一

【Discuz】导航条、搜索栏的修改

可能对于有些人来说,Discuz的导航栏与搜索栏需要修改.或者直接不要. 这里以默认的模板为例,进行说明. Discuz的导航条.搜索栏也是如同<[Discuz]去除版权信息,标题栏与底部修改>(点击打开链接)的信息一样,只要修改部分文件就能够应用于整个站点. 在修改代码之前,先明确几个可以直接在后台修改的东西: 1.首先是"热搜"的关键词,直接在全局->搜索设置->热门关键词中,可以直接改. 2.同时,搜索的下拉列表,文章.帖子.用户,可以在开启搜索中的搜索项

入侵后痕迹清理

清理你入侵后的三个重要痕迹应用程序日志安全日志系统日志 DNS日志默认位置:%systemroot%system32config,默认文件大小512KB,管理员都会改变这个默认大小.安全日志文件:%systemroot%system32configSecEvent.EVT系统日志文件:%systemroot%system32configSysEvent.EVT应用程序日志文件:%systemroot%system32configAppEvent.EVTFTP日志默认位置:%systemroot%

修改linux文件权限命令

修改linux文件权限命令:chmod Linux系统中的每个文件和目录都有访问许可权限,用它来确定谁可以通过何种方式对文件和目录进行访问和操作. 文件或目录的访问权限分为只读,只写和可执行三种.以文件为例,只读权限表示只允许读其内容,而禁止对其做任何的更改操作.可执行权限表示允许将该文件作为一个程序执行.文件被创建时,文件所有者自动拥有对该文件的读.写和可执行权限,以便于对文件的阅读和修改.用户也可根据需要把访问权限设置为需要的任何组合. 有三种不同类型的用户可对文件或目录进行访问:文件所有者