短视频时代还有研究木马的,冰痕大马斩首行动

  • A+
所属分类:安全攻防

今天 dz论坛中了个木马,路径是

/api/connect/logs.php

短视频时代还有研究木马的,冰痕大马斩首行动

 

查看代码是加密过的,经过破解,取得了密码

短视频时代还有研究木马的,冰痕大马斩首行动

 

登录查看,别有洞天

短视频时代还有研究木马的,冰痕大马斩首行动

 

 

仔细研究一番,原来是中了图片木马,整个图片看起来很正常,

但是右键-查看源代码 发现了图片里隐藏了很多木马信息, 第402行。

这个图片我上传了,有兴趣的可以下载看看。下载 图片木马

 

短视频时代还有研究木马的,冰痕大马斩首行动

 

木马删除后,暂时没发现网站有任何 异常, 短视频时代,还有研究木马的,也是服了。

 

后期发现手机浏览器,PC浏览器 登录网站一切正常,  唯独登录手机版QQ浏览器直接跳转到了 非法网站。

最后经过一系列排查发现了问题所在。

 

短视频时代还有研究木马的,冰痕大马斩首行动

 

短视频时代还有研究木马的,冰痕大马斩首行动

 

 

 

下面公布 DZ木马斩首行动:

DZ论坛设置成

1.上传过的头像没法执行PHP

2.禁止传图,禁止传附件,

3.禁止传头像

4.禁止木马的一个危险端口

5. 有条件的最好企业级的防篡改

 

 

头像要禁止执行PHP 就得把头像目录 禁止写入,   这样别人就没法上传头像了,即使有木马也没有执行权限。    但是这样的缺点是,以前即使上传成功的头像也没法查看,所以谨慎使用。

进入控制面板去设置 \uc_server\data\avatar设为不可写 ,进入FTP会设置不成功,进入控制面板才可以,我进入的是宝塔控制面板。

但是这样的缺点是,以前即使上传成功的头像也没法查看,所以谨慎使用。

短视频时代还有研究木马的,冰痕大马斩首行动

 

 

禁止新手上路和普通注册用户禁止传图,禁止传附件

短视频时代还有研究木马的,冰痕大马斩首行动

 

 

前台设置禁止传头像可以这样设置:

/template/default/home 里的spacecp_avatar.htm 文件,搜索代码,去掉

<script type="text/javascript">document.write(AC_FL_RunContent('<!--{echo implode("','", $uc_avatarflash);}-->'));</script>

去掉这一行代码,前台就没有任何上传头像的功能框了。

 

 

更改提示 可以进入

/template/default/home 里的spacecp_avatar.htm 文件,搜索代码

把这代码  lang setting_my_new_avatar_message   替换成你想显示的语言即可

短视频时代还有研究木马的,冰痕大马斩首行动

 

禁止此木马的一个危险端口

短视频时代还有研究木马的,冰痕大马斩首行动

 

短视频时代还有研究木马的,冰痕大马斩首行动

 

有条件的直接上宝塔企业级的防篡改,这样的最保险,就算入侵成功,也没法改动你的网站文件。

但如果你是dede网站,需要经常生成静态,每次生成需要关闭防篡改开关才行,否则没法生成。

即便你的网站是DZ 也需要把缓存文件夹和生成的地图给排除掉,否则缓存文件和地图没法生成。

短视频时代还有研究木马的,冰痕大马斩首行动

 

短视频时代还有研究木马的,冰痕大马斩首行动

 

历史上的今天
五月
22

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: