前几天打开网站 发现中了木马跳转到了非法网站,而PC端正常,只有手机端打开后 才跳转。
本来不当回事,后期网友提醒,觉得先关闭网站。
又觉得 DZ论坛现在访问的不多了,也没人去讨论啥了,想改版成其他网站程序。
要改版就得找技术人员,收费不说,涉及方方面面改动太多。
就算改版完了也无非是乐呵乐呵几天时间,没人气又有啥用呢??
DZ论坛有个优点就是:羊群效应,一般人进去一看人气满满 起码信任感十足。
所以想着先把 木马清理了,再考虑是否改版。
现在的症状是:
打开DZ 网站,比如网址 https://www.某某.com/simba-71713.html ,手机版才能显示出 打开了 非法网站, 而 电脑版 则 正常 完全看不出中了木马。
Discuz! 网站被植入了 仅在手机端触发的恶意跳转木马,电脑端正常、手机端跳非法站,是典型的 “UA 识别型挂马”。
如何清理??
1. 在 \template\模板\common\header.htm 中 找到 木马代码,删除即可。
2. 在 \template\模板\common\foot.htm 中 找到 2段 木马代码 ,删除即可。
3. \data\diy\template\模板 \forum\viewthread.htm 中 木马代码
这是帖子页面模板,意味着用户打开任何帖子时,手机端都会触发跳转。
4.
后台 ,插件,站点广告里 有非法代码 ,需要删除
黑客就是通过植入这段代码,在网站(尤其是手机端)展示非法广告(博彩、色情等)来牟利。
日志文件中的木马注入记录(关键证据)
\data\log\202601_cplog.php
日志里记录了黑客通过广告模块(adv) 注入木马的操作:
操作人 IP:111.15.210.6
操作内容:编辑广告 ID=25,将代码替换为木马脚本
注入时间:日志时间戳 1767844549 (对应 2026 年 1 月 19 )
这说明:木马是通过后台广告功能植入的,不是插件文件夹直接藏马。
清理后台广告中的木马
登录 Discuz! 后台 → 广告 → 广告管理
找到 ID=25 的广告(日志里记录的 advid=25)
删除该广告,或清空其代码内容(替换为正常广告 / 空内容)
确认所有广告代码中不再包含 qb-pc-sdk 相关内容。
5. 后台 安全--- 账号保镖---管理员组 开启 QQ登录 ,
这样管理员 只能通过QQ登录,就算知道了管理员密码也没用。
