您的位置: 主页 > 编程开发 > PHP > DZ7.0最新0DAY补丁usergroup_0.php

DZ7.0最新0DAY补丁usergroup_0.php
时间:11-05-04 来源:未知 作者:白天的猫头鹰 阅览:

如果仅是这个漏洞影响不大, 获得管理员权限的人不多, 但因为这次问题出在官方的通知服务器被攻陷, 造成只要访问后台首页, 就可以直接使用管理员权限利用这个漏洞写入webshell, 这也就是为什么很多人中招的缘故. 只要前几天访问了后台, 基本上就会生成 usergroup_0.php 或 style_1.php 被篡改.

  很多挂黑页的朋友也是没有洞的,只不过是知道了通过劫持 基本90%的DZ都有这个一句话木马了, 他们也没洞 是别人搞下了DZ的信息通知服务器劫持了一下 都是一句话木马 给别人可趁之机了 forumdata/cache/usergroup_0.php 基本就是访问这个。连接。没了。

  必要时候 可以把wap cache forumdata等设置为不允许执行脚本

  以下是补丁和检测文件

  近日网上看到越来越多的站长报告说自己的论坛被人放了 Webshell 甚至挂马, 起初没在意, 但令我诧异的是, 今天我在本机的dz的根目录也发现了一个Webshell, 接着检查了一下, 发现 7dps.com, 7drc.com, 乃至 discuz.net 也中招了!

  由此可见, 这个可能存在的漏洞造成的危害是极其严重的, 通过利用在服务器中生成的 Webshell, 黑客可以用它来挂马、修改数据乃至清空整个论坛数据! 请每个看到这个帖子的站长立即检查论坛下面有没有以下文件, 如果有, 请立即删除!

  ./usergroup_0.php

  ./forumdata/cache/usergroup_0.php

  除此之外, 如果发现论坛有字体变大等现象, 请进入后台 风格管理 的高级模式, 检查有没有异常的 自定义模板变量, 有则删除之并更新论坛缓存!

  如果发现了上述恶意文件, 请删除后检查论坛模板, 查看是否被人挂马等. 删除文件后, 请密切关注这些异常文件是否会再次出现.

  官方已在下载服务器上发布补丁, 请点击这里下载安装.

  官方相关链接文章:http://www.discuz.net/thread-1388523-1-1.html

  =========================================

  下面发布一个我写的扫描程序, 它可以扫描出论坛中 usergroup_*.php、style_*.php 等缓存文件是否有 Webshell, 附件目录是否存在 php/asp 文件, 模板中是否有外链存在 (有外链则表示有可能被挂马), 以及 stylevars 表中的非法数据.

  如果比较懒的朋友可以用这个程序对论坛进行一次扫描. 使用方法很简单, 下载后解压缩并将 scansw.php 上传至论坛根目录, 打开后选择需要扫描的项目并点击开始扫描即可.

  这个程序不会改动任何论坛数据, 只对目前存在的问题做出建议, 不会对论坛产生任何影响.

  扫描结果可能存在误差, 请进行任何改动前都要备份文件!

  使用完毕后请删除此程序文件, 最好再在这里回个帖子帮顶一下.

  提示:

  如果扫描程序提示需要到后台执行一段sql代码的话, 请一定要根据提示操作! 如果有这个提示出现, 我相信您的站点必定出现过字体变大的奇怪现象! 只是当初很多人没有意识到这个问题的严重性! 执行sql后请更新论坛的缓存, 如果您关闭了该风格, 可以再次开启它.

  .

  更新:

  1. 增加扫描附件目录中是否有 php/asp 文件

  2. 增加安全外链忽略功能 (可编辑 $safeurls 增加)

  3. 扫描结束后如果没有发现任何危险代码做出安全显示

  4. 由于 PHP4 不支持 DOM, PHP5 以下版本自动关闭扫描模板功能

  程序使用的是DOM来扫描htm文件, 检测 <script type="text/javascript">标签和标签, 包括检测 <script> 之间的内容是否有外链, 所以, 这程序除了检测这次的Webshell之外, 平时下载插件或者风格后在安装之前也可以扫一下下载的东西安不安全.

  因为软件没搞到.先把文章放上..软件先等等!


本篇文章来源于 站长安全网(wwwsafe5.com) 原文出处:http://www.safe5.com/patch/chengxu/20110327/15574.html


PHP相关
关于<< DZ7.0最新0DAY补丁usergroup_0.php >>的评论 查看所有评论