最近一直受到代码注入的提示:
网站表现为访问类似的 kpi 网址会在一定情况下跳转到黑产的钓鱼色情、博彩等站点的页面导流。
/kpi-967584611.html
感觉是黑产自己也有kpi的考核所以选用这种方式开计算考核量。这些被黑产带到诈骗园区的程序员,如果完不成考核也许就是一顿电棍,想想也不好混。
经过一段时间排查,发现discuz 有文件安全监测,被修改了文件会列出来。
而且服务器云安全和cdn都会拦截灰产页面,开始封禁链接,如果一直不处理的话会被直接封禁服务,80端口,停止cdn服务。
source/class/discuz/discuz_application.php
这个文件被放置了入口木马。将这个代码进行还原,然后再对代码进行升级加固。
linux 系统下的 tmp 目录也一直报有php缓存文件的木马。
除此之外,还有一些常见可能被写入恶意代码discuzx 文件,一并记录一下。
source/function/function_core.php
uc_server/control/admin/user.php
source/class/discuz/discuz_admincp.php
source/class/discuz/discuz_application.php