短视频时代还有研究木马的,冰痕大马斩首行动

  • 1,844 点击
  • 阅读模式

今天 dz论坛中了个木马,路径是

/api/connect/logs.php

破解密码是lumanmanqixiuyuanxi

短视频时代还有研究木马的,冰痕大马斩首行动

 

查看代码是加密过的,经过破解,取得了密码

短视频时代还有研究木马的,冰痕大马斩首行动

 

登录查看,别有洞天

短视频时代还有研究木马的,冰痕大马斩首行动

 

 

仔细研究一番,原来是中了图片木马,整个图片看起来很正常,

但是右键-查看源代码 发现了图片里隐藏了很多木马信息, 第402行。

这个图片我上传了,有兴趣的可以下载看看。

 

源代码是:利于你分析

冰痕大马代码

下载 图片木马

破解登录密码是lumanmanqixiuyuanxi

 

短视频时代还有研究木马的,冰痕大马斩首行动

 

木马删除后,暂时没发现网站有任何 异常, 短视频时代,还有研究木马的,也是服了。

 

后期发现手机浏览器,PC浏览器 登录网站一切正常,  唯独登录手机版QQ浏览器直接跳转到了 非法网站。

最后经过一系列排查发现了问题所在。

 

短视频时代还有研究木马的,冰痕大马斩首行动

 

短视频时代还有研究木马的,冰痕大马斩首行动

 

 

 

下面公布 DZ木马斩首行动:

DZ论坛设置成

1.上传过的头像没法执行PHP

2.禁止传图,禁止传附件,

3.禁止传头像

4.禁止木马的一个危险端口

5. 有条件的最好企业级的防篡改

 

 

头像要禁止执行PHP 就得把头像目录 禁止写入,   这样别人就没法上传头像了,即使有木马也没有执行权限。    但是这样的缺点是,以前即使上传成功的头像也没法查看,所以谨慎使用。

进入控制面板去设置 \uc_server\data\avatar设为不可写 ,进入FTP会设置不成功,进入控制面板才可以,我进入的是宝塔控制面板。

但是这样的缺点是,以前即使上传成功的头像也没法查看,所以谨慎使用。

短视频时代还有研究木马的,冰痕大马斩首行动

 

 

禁止新手上路和普通注册用户禁止传图,禁止传附件

短视频时代还有研究木马的,冰痕大马斩首行动

 

 

前台设置禁止传头像可以这样设置:

/template/default/home 里的spacecp_avatar.htm 文件,搜索代码,去掉

<script type="text/javascript">document.write(AC_FL_RunContent('<!--{echo implode("','", $uc_avatarflash);}-->'));</script>

去掉这一行代码,前台就没有任何上传头像的功能框了。

 

 

更改提示 可以进入

/template/default/home 里的spacecp_avatar.htm 文件,搜索代码

把这代码  lang setting_my_new_avatar_message   替换成你想显示的语言即可

短视频时代还有研究木马的,冰痕大马斩首行动

 

禁止此木马的一个危险端口

短视频时代还有研究木马的,冰痕大马斩首行动

 

短视频时代还有研究木马的,冰痕大马斩首行动

 

 

 

weinxin
短视频营销公众号
扫一扫
admin
  • 本文由 发表于 2020年5月22日20:16:08
  • 转载请务必保留本文链接:https://www.shipinwhy.com/wangluoyingxiao/anquan/4926.html