曾经,作为新手站长的我,面对挂马是无可奈何。那时,我的Discuz论坛经常被人挂马,真的是无可奈何。
在这些噩梦中,我整理出了2条被挂马的经历。
1.可能是通过Discuz论坛用户上传头像的方式,把带有特殊代码的图片上传到空间。
这是怎么回事呢,比如.jpq和.png等图片格式,用txt打开会发现里面有js代码。
解决方法1:取消相关目录的执行权限(推荐方法)。
解决方法2:注释掉全部上传头像的代码(会导致无法上传头像)。
解决方法3:锁定相关目录(会导致无法上传头像)。
解决方法4:另购一个云存储,专门用作头像存储(难度比较大,需要对dz有一定了解且会代码,显然不现实)。
解决方法5:对上传的图片进行处理(这个没试过,不推荐)。
2.通过Discuz源码的升级程序在网站挂马。
通常会利用这个的人可以在一晚上内把你的Discuz论坛彻底变成另一个网站,什么意思呢,就是可以理解为整个替换的意思。
解决方法1:另行备份Discuz的升级程序到本地,然后彻底删除Discuz的升级程序(唯一解决方法)。
大家不要以为简单就无视,我吃过几次亏。
比如像UC的升级文件。
还有dz安装程序install,安装完毕后并不会直接删除而是被放在了某目录下(不是uc_client就是uc_server)。
虽然这两个东西没出现过问题。不过,别人能通过Dz的升级程序搞事情,这个可能也存在隐患。
所以建议也是和2的解决方法一样:备份后“删除” 。
最后我要说的是,不是什么网站都会成为挂马的目标。
下面讲下被挂马的特征。
1.我第一次被挂马:
第一个晚上:网站根目录下多了许多文件,显然不是dz程序的,有.php文件和.html文件和.jsp文件。
.php文件和.jsp文件的内容是通向一个出售非法物品的网站(这里不敢细说)。
而.html的内容和那个“出售非法物品的网站”内容是一致的。
第二个晚上:网站根目录下的其他目录也出现了这些文件,而且还多出了许多目录。
当是我就觉得这些文件一定是自动写入的,当天我改了后台密码和ftp密码。
第三个晚上:网站首页文件index.php被修改且多出了index.html - - 彻底被征服。
当时联系了服务商处理,他们只说是“我的网站源码存在漏洞”,但没有解决方法和具体原因,推荐我用他们安全云服务。
当然我放弃了这个服务商,明显不靠谱。
2.我第二次被挂马:
其实在换服务商前我已经在某人(具体不记得,现在已经找不到了)的博客上找到了原因,在这个人的案例中,就是通过上传头像的方式上传病毒。
所以第一个问题我解决了,然而又来了第二个问题:我的dz论坛一夜之间变成了软件下载站?!
我当即用ftp查看网站目录,发现整个都被替换了,基本上全是.html文件,当即我联系上了服务商。
这个服务商比之前那个靠谱,问了几个问题后,只回复了让我等一下。
几分钟后,服务商发来消息,说帮我恢复了,这个是dz的升级程序漏出的可乘之机,已经帮我删了dz的升级程序。