[求助] Discuz疑出现严重漏洞,已经多次被入侵,我把经历写出来
来源:    发布时间: 2017-11-13 07:41    次浏览   
本帖最后由 FIGO.N 于 2016-11-17 19:56 编辑

背景
1、服务器使用阿里云
2、网站安装discuz最新版20160601版本
3、插件只装了 微社区 baidusubmit dsu签到

被黑经过
1、收到阿里云的报警短信,网站CPU跑到100%,并且有一个异地登录,用户名wwx
2、之后发现网站的index.php home.php uc_client/control/user.php 等文件被修改
    2.1部分文件在头部增加跳转逻辑,当UA为搜索引擎时跳到某赌博网站
    2.2 user.php被修改加入用户信息盗取,会把在用户登录时获取用户名密码等发送到黑客自己的服务器
3、发现服务器中可疑文件 phpx.php,黑客可访问到服务器所有文件包括根目录,并且部分目录拥有读写权限

如下:

上图是我把phpx.php 下到本地测试,所以看到的是C D盘,服务器上文件已删


发现被黑后立即将服务器回滚至前一天快照(赞阿里云),之后上网搜发现discuz 存在discuz memcache+ssrf getshell 漏洞
按照网上以及dz论坛提供的办法修复,并且设置memche只允许127.0.0.1访问,并且加了iptables,本以为一切搞定。。
结果,今天无意间又发现网站文件被改了(网站代码用git做版本控制,方便自己开发,在git status时发现文件被改)


我使用的dz没有任何二次开发,仅仅是template下自己做了个模板,然后用了开头说的那三个插件
不知道是什么漏洞,使得入侵者可以随意上传文件,网站运营六七年了,不能就此毁掉啊,,望官方重视!!!!!!
其他站长有没有遇到类似的,请回帖!!引起官方重视!!!!!!