52PCGame

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 8806|回复: 39

[公告] 懂discuz的童鞋看进来,集思广益

 关闭 [复制链接]

188

主题

623

帖子

3099

积分

督师

Rank: 20Rank: 20Rank: 20Rank: 20

积分
3099
威望
3094
金圆券
13329 PB
小红花
324
臭鸡蛋
81
法币
635041 FB

神龙勋章

QQ
发表于 2020-3-21 11:37 | 显示全部楼层 |阅读模式
假设可以看到

你说dz那么多漏洞,52十几年又积攒了几十G鬼知道有多少webshell代码在里面的附件,靠业余的管理员杀漏洞防挂马估计是没救的。

问题是,检测到木马不难啊!还可以回档!
你这么每天挂一次我每天删一次有意思么!


要不我们来聊聊,你改行帮52堵漏洞吧,和恐怖分子谈判是我们小布尔乔亚的优良传统保证拿的比挂什么狗屎广告马强


好,小布尔乔亚的革命性发作了,我们来讨论下怎么防挂马吧!
回复

使用道具 举报

48

主题

3332

帖子

1万

积分

准将

爱萝莉的河蟹,正太全都狗带狗带

Rank: 13Rank: 13Rank: 13

积分
10331
威望
10331
金圆券
309239 PB
小红花
89
臭鸡蛋
1
法币
174 FB
发表于 2020-3-21 12:42 | 显示全部楼层
要不发个召集贴?相信52还是有不少打码的手艺人,咱把这个给补了吧。
某虽不才,愿往帐下听令
回复

使用道具 举报

1

主题

17

帖子

58

积分

下士

Rank: 2Rank: 2

积分
58
威望
58
金圆券
128 PB
小红花
0
臭鸡蛋
0
法币
0 FB
发表于 2020-3-21 14:36 | 显示全部楼层
和劫掠者谈判要掉封臣好感的(
回复

使用道具 举报

1

主题

249

帖子

370

积分

中尉

Rank: 7Rank: 7Rank: 7

积分
370
威望
370
金圆券
1264 PB
小红花
0
臭鸡蛋
0
法币
0 FB
发表于 2020-3-21 17:30 | 显示全部楼层
厌战抗不住了,和谈了和谈了
回复

使用道具 举报

18

主题

1393

帖子

5345

积分

上校

Rank: 12Rank: 12

积分
5345
威望
5345
金圆券
4848 PB
小红花
37
臭鸡蛋
0
法币
0 FB

博学勋章

发表于 2020-3-21 18:10 | 显示全部楼层
esen太师又加攻城能力了(逃
回复

使用道具 举报

1

主题

16

帖子

88

积分

中士

Rank: 3

积分
88
威望
88
金圆券
374 PB
小红花
2
臭鸡蛋
0
法币
1 FB
发表于 2020-3-21 22:25 | 显示全部楼层
本帖最后由 lalala007 于 2020-3-21 22:28 编辑

建议将头像目录和上传附件的目录的脚本执行权限取消掉,只保留读写权限。

我有15年的dz论坛维护经验,本人感觉dz本身没什么漏洞,主要是因为论坛的上传目录的权限设置不当导致的频繁被挂马。


还有就是除了上传目录之外,所有其他目录的文件只有读的权限,写权限全部取消掉。
是在不行就联系戴志康去帮你搞搞安全,反正他现在也是闲的没啥事干。

评分

参与人数 1威望 +20 金圆券 +120 小红花 +2 收起 理由
zqq1111 + 20 + 120 + 2 很给力!

查看全部评分

回复

使用道具 举报

261

主题

6364

帖子

1万

积分

制置使

復興黨雜伇

Rank: 14Rank: 14Rank: 14Rank: 14

积分
18397
威望
18382
金圆券
155753 PB
小红花
181
臭鸡蛋
10
法币
58 FB

新兵勋章初等老兵勋章

发表于 2020-3-21 22:42 | 显示全部楼层
你要撐住啊
回复

使用道具 举报

188

主题

623

帖子

3099

积分

督师

Rank: 20Rank: 20Rank: 20Rank: 20

积分
3099
威望
3094
金圆券
13329 PB
小红花
324
臭鸡蛋
81
法币
635041 FB

神龙勋章

QQ
 楼主| 发表于 2020-3-22 11:48 | 显示全部楼层
lalala007 发表于 2020-3-21 22:25
建议将头像目录和上传附件的目录的脚本执行权限取消掉,只保留读写权限。

我有15年的dz论坛维护经验,本 ...

你是通过啥方法封的?php要建立新文件的,不可能把x取消啊?

我现在做法是把整个data目录用nginx做了不proxy给php直接当静态文件下载,从昨天一天来看效果良好。(其实之前有弄这个,不知道后来怎么又删了没注意一直以为有保护实际裸奔)

主要就是有没有更科学的保护方法以及具体哪些目录需要这么保护,包括ucenter。是否认为但凡php用户可以写的目录nginx都需要设置成认为是静态内容。这样理论上是不是即时dz有非法上传的漏洞也能防止webshell?
回复

使用道具 举报

1

主题

116

帖子

274

积分

少尉

Rank: 6Rank: 6

积分
274
威望
274
金圆券
1050 PB
小红花
0
臭鸡蛋
0
法币
0 FB
发表于 2020-3-23 08:42 | 显示全部楼层
厌战压不住了啊哈哈哈哈
回复

使用道具 举报

56

主题

5524

帖子

1万

积分

少将

Rank: 14Rank: 14Rank: 14Rank: 14

积分
18039
威望
18039
金圆券
9873 PB
小红花
76
臭鸡蛋
28
法币
122967 FB
发表于 2020-3-23 09:04 | 显示全部楼层
要不自己写个...Discuz太多花里胡哨功能
回复

使用道具 举报

48

主题

3332

帖子

1万

积分

准将

爱萝莉的河蟹,正太全都狗带狗带

Rank: 13Rank: 13Rank: 13

积分
10331
威望
10331
金圆券
309239 PB
小红花
89
臭鸡蛋
1
法币
174 FB
发表于 2020-3-23 11:22 | 显示全部楼层
某对DZ的印象还停留在X2时代...这些年在搞C#和java,最近两年是python
回复

使用道具 举报

48

主题

3332

帖子

1万

积分

准将

爱萝莉的河蟹,正太全都狗带狗带

Rank: 13Rank: 13Rank: 13

积分
10331
威望
10331
金圆券
309239 PB
小红花
89
臭鸡蛋
1
法币
174 FB
发表于 2020-3-23 11:27 | 显示全部楼层
如果确定是上传的问题的话,能不能在上传的部分加个中间件,将上传的文件 bytes 转 string 后用正则进行一次过滤?匹配到疑似的再人工介入,确认了就该删删,该封封
回复

使用道具 举报

188

主题

623

帖子

3099

积分

督师

Rank: 20Rank: 20Rank: 20Rank: 20

积分
3099
威望
3094
金圆券
13329 PB
小红花
324
臭鸡蛋
81
法币
635041 FB

神龙勋章

QQ
 楼主| 发表于 2020-3-23 12:21 | 显示全部楼层
testlook 发表于 2020-3-23 11:27
如果确定是上传的问题的话,能不能在上传的部分加个中间件,将上传的文件 bytes 转 string 后用正则进行一 ...

那结果就是和敏感词过滤一样结果,很难平衡误杀和效果
回复

使用道具 举报

48

主题

3332

帖子

1万

积分

准将

爱萝莉的河蟹,正太全都狗带狗带

Rank: 13Rank: 13Rank: 13

积分
10331
威望
10331
金圆券
309239 PB
小红花
89
臭鸡蛋
1
法币
174 FB
发表于 2020-3-23 13:33 | 显示全部楼层
hhyy_best 发表于 2020-3-23 12:21
那结果就是和敏感词过滤一样结果,很难平衡误杀和效果

要不找几个文件先试试看,把它们相同的地方抽象出来,黑入的代码或有差异,思路应该是类似的
这种方法不可能一次性解决,要通过多次调校,以后还得根据新情况进行维护,就像写爬虫或者更新病毒特征库一样
回复

使用道具 举报

48

主题

3332

帖子

1万

积分

准将

爱萝莉的河蟹,正太全都狗带狗带

Rank: 13Rank: 13Rank: 13

积分
10331
威望
10331
金圆券
309239 PB
小红花
89
臭鸡蛋
1
法币
174 FB
发表于 2020-3-23 13:49 | 显示全部楼层
6楼说的从linux系统的文件系统权限入手应该更方便一点,就是一开始处理起来麻烦一些
把文件结构列出来,然后逐个调整文件夹的wx权限,记在文档上,最后形成一个批处理文件
主要是繁琐,需要对DZ的各个模块和文件结构很熟悉
回复

使用道具 举报

188

主题

623

帖子

3099

积分

督师

Rank: 20Rank: 20Rank: 20Rank: 20

积分
3099
威望
3094
金圆券
13329 PB
小红花
324
臭鸡蛋
81
法币
635041 FB

神龙勋章

QQ
 楼主| 发表于 2020-3-24 13:24 | 显示全部楼层
testlook 发表于 2020-3-23 13:49
6楼说的从linux系统的文件系统权限入手应该更方便一点,就是一开始处理起来麻烦一些
把文件结构列出来,然 ...

文件权限只能防篡改,没法防往附件目录丢脚本的防执行。毕竟php执行只需要读权限,不需要执行,没法卡

本质应该还是让反向代理来确保不执行,问题就是怕漏文件夹
回复

使用道具 举报

48

主题

3332

帖子

1万

积分

准将

爱萝莉的河蟹,正太全都狗带狗带

Rank: 13Rank: 13Rank: 13

积分
10331
威望
10331
金圆券
309239 PB
小红花
89
臭鸡蛋
1
法币
174 FB
发表于 2020-3-25 16:02 | 显示全部楼层
hhyy_best 发表于 2020-3-24 13:24
文件权限只能防篡改,没法防往附件目录丢脚本的防执行。毕竟php执行只需要读权限,不需要执行,没法卡
...

稍微看了一下相关的东西,感觉可能不止附件的问题
漏文件夹某觉得倒是没关系,每次被攻击都能缩小相应的文件夹范围,不过写 nginx 配置文件的时候倒是挺繁琐的了,一大堆东西
回复

使用道具 举报

48

主题

3332

帖子

1万

积分

准将

爱萝莉的河蟹,正太全都狗带狗带

Rank: 13Rank: 13Rank: 13

积分
10331
威望
10331
金圆券
309239 PB
小红花
89
臭鸡蛋
1
法币
174 FB
发表于 2020-3-25 16:07 | 显示全部楼层
拿 apache + php 测了下文件夹权限的方法,当文件夹不给 rx 权限的的时候,连里面的图片都访问不到,直接 403 了
回复

使用道具 举报

48

主题

910

帖子

1948

积分

少校

Rank: 10Rank: 10

积分
1948
威望
1948
金圆券
3911 PB
小红花
16
臭鸡蛋
37
法币
43 FB

建国日勋章

QQ
发表于 2020-3-25 23:39 | 显示全部楼层
hhyy_best 发表于 2020-3-24 13:24
文件权限只能防篡改,没法防往附件目录丢脚本的防执行。毕竟php执行只需要读权限,不需要执行,没法卡
...

不太懂DZ,也不懂php,常年java+c厮混
但比较熟悉linux
俩思路,仅供参考
1、php限制在一个独立的用户(权限组),禁止这个用户除了php目录之外的写入权限(除了上传路径),禁止除了php执行文件的执行权限(除了php宿主的路径),然后nginx deny掉上传路径的执行权限
在root底下chmod -R 0744一把梭
然后涉及到需要写入权限的堆在一个父路径地下chmod -R 0766设置权限
如果不确定那些插件或者目录需要写入权限,等报错或许是个好法子
2、附件用nginx代理,只给附件目录写权限,不给读权限,但不知道DZ好不好配置这种附件访问逻辑
但如果有别的附件涉及到写入权限就比较麻烦了

另外从症状上看,论坛肯定被挂东西了,估计是个脚本,会执行某个路径下的文件,否则光上传上来恶意脚本的话没有执行者也不会有问题,另外回滚不能恢复可能是系统层面被挂了,或者DZ被挂了很久了
我建议从linux维度查一下,比如异常进程,异常用户
异常进程只能蒙着来了,ps -ef仔细看看(装一个一样的系统对比一下)
异常用户看/etc/passwd(同上)
最后可以考虑排查一下DZ的全部php文件(不太懂DZ的原理,但php文件修改量应该不大,和对应版本的原始文件对比一下,比如把俩版本分别上传git,git找不同特别明显)
还有个土法子,再装一台,把数据库数据弄过去(无数专业网管推荐——重装系统大法好)

PS:突然发现茶馆不见了,发生了虾米
回复

使用道具 举报

188

主题

623

帖子

3099

积分

督师

Rank: 20Rank: 20Rank: 20Rank: 20

积分
3099
威望
3094
金圆券
13329 PB
小红花
324
臭鸡蛋
81
法币
635041 FB

神龙勋章

QQ
 楼主| 发表于 2020-3-26 00:32 | 显示全部楼层
zhh0000zhh 发表于 2020-3-25 23:39
不太懂DZ,也不懂php,常年java+c厮混
但比较熟悉linux
俩思路,仅供参考

php权限肯定是不足以乱写的,否则服务器就已经沦陷了,现在看至少服务器暂时还没崩。

别说744了,现在除了上传目录基本是root用户644一把梭

只给写不给读是不成的,一个附件只能传不能下还要这个附件干啥。。。。。

回滚是没救的,52那个附件目录这么多年了鬼知道有多少东西

总之只能比耐心或者诏安了

我们小布尔乔亚投降起来沒有壓力
回复

使用道具 举报

48

主题

910

帖子

1948

积分

少校

Rank: 10Rank: 10

积分
1948
威望
1948
金圆券
3911 PB
小红花
16
臭鸡蛋
37
法币
43 FB

建国日勋章

QQ
发表于 2020-3-26 19:50 | 显示全部楼层
hhyy_best 发表于 2020-3-26 00:32
php权限肯定是不足以乱写的,否则服务器就已经沦陷了,现在看至少服务器暂时还没崩。

别说744了,现在 ...

nginx去处理附件啊。。chown可以把权限弄到用户头上
php应该是CGI模式接入的,nginx和php是俩不同进程
让他俩跑不同用户,这样nginx有读的权限,php只有写的权限
反正最后附件也是从nginx去搞,php应该只负责路径拼接
回复

使用道具 举报

188

主题

623

帖子

3099

积分

督师

Rank: 20Rank: 20Rank: 20Rank: 20

积分
3099
威望
3094
金圆券
13329 PB
小红花
324
臭鸡蛋
81
法币
635041 FB

神龙勋章

QQ
 楼主| 发表于 2020-3-27 16:58 | 显示全部楼层
zhh0000zhh 发表于 2020-3-26 19:50
nginx去处理附件啊。。chown可以把权限弄到用户头上
php应该是CGI模式接入的,nginx和php是俩不同进程
...

这是不成的,因为没自动化的操作手法,我不可能让php的用户去chown 文件,而且能改过去,webshell一样能改回来。。。。这属于掩耳盗铃阿。。。

目前我就是把能找到的可写目录设置了不pass给php。问题是可能有没找到的。。。或者给留了别的后门之类,这种不是很熟悉或者抓现行就很难办了。
回复

使用道具 举报

1

主题

17

帖子

58

积分

下士

Rank: 2Rank: 2

积分
58
威望
58
金圆券
128 PB
小红花
0
臭鸡蛋
0
法币
0 FB
发表于 2020-3-28 22:23 | 显示全部楼层
所以为什么一个填色游戏论坛会有人挂马呢
难道说有人在秘密收集p社玩家名单以便枪毙(
回复

使用道具 举报

188

主题

623

帖子

3099

积分

督师

Rank: 20Rank: 20Rank: 20Rank: 20

积分
3099
威望
3094
金圆券
13329 PB
小红花
324
臭鸡蛋
81
法币
635041 FB

神龙勋章

QQ
 楼主| 发表于 2020-3-28 22:56 | 显示全部楼层
阿西吧。又被挂了,用翻了半天日志都没看明白的方法,给某个之前没注意的可写目录传了货

discuz阴暗角落的可写目录太多了,但愿杀光了

顺便测试下附件

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

48

主题

3332

帖子

1万

积分

准将

爱萝莉的河蟹,正太全都狗带狗带

Rank: 13Rank: 13Rank: 13

积分
10331
威望
10331
金圆券
309239 PB
小红花
89
臭鸡蛋
1
法币
174 FB
发表于 2020-3-30 16:45 | 显示全部楼层
@Lysten 有人想吃刀板面

评分

参与人数 1金圆券 +70 收起 理由
liubi245 + 70 很给力!已處理

查看全部评分

回复

使用道具 举报

2

主题

18

帖子

55

积分

下士

Rank: 2Rank: 2

积分
55
威望
55
金圆券
89 PB
小红花
0
臭鸡蛋
0
法币
0 FB
发表于 2020-4-1 17:32 | 显示全部楼层
加油
回复

使用道具 举报

1

主题

11

帖子

96

积分

中士

Rank: 3

积分
96
威望
96
金圆券
389 PB
小红花
0
臭鸡蛋
0
法币
0 FB
发表于 2020-4-5 16:29 | 显示全部楼层
上传的问题的话,直接所有上传文件改后缀吧,另外管理员密码整复杂点,只要没得代码或者命令执行就不怕了
回复

使用道具 举报

4

主题

74

帖子

534

积分

准校

Rank: 9

积分
534
威望
534
金圆券
24946 PB
小红花
7
臭鸡蛋
0
法币
740 FB
发表于 2020-4-17 16:50 | 显示全部楼层
好久没来论坛了,发生了什么...
回复

使用道具 举报

0

主题

2

帖子

12

积分

列兵

Rank: 1

积分
12
威望
12
金圆券
29 PB
小红花
0
臭鸡蛋
0
法币
0 FB
发表于 2020-4-17 20:33 | 显示全部楼层
这个需要会编程代码吗
回复

使用道具 举报

2

主题

32

帖子

146

积分

上士

Rank: 4Rank: 4

积分
146
威望
146
金圆券
2083 PB
小红花
0
臭鸡蛋
0
法币
1 FB
发表于 2020-4-22 04:42 | 显示全部楼层
最好的办法就是扔掉discuz,php防挂马太难了。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|52PCGame

GMT+8, 2020-11-24 20:36 , Processed in 0.205402 second(s), 22 queries , Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表