网站被黑,admin密码被修改

Full · 发表于 2021-3-12 22:32:05

discuz 3.2建的站，下午发现后台上不去了，提示密码错误。宝塔面板能上，照网上的方法，要先改UCenterAdministrato密码，找到/uc_server/data/config.inc.php，结果发现这个文件刚刚被人修改过。

把admin密码，宝塔面板密码，root密码通通改了一遍。但至今不知道怎么被黑的，discuz后台记录到是宿迁的一个ip登的admin，上来也没做别的，就在站点广告那里建了几个，但广告的链接还是我自己站的。

那都通 · 发表于 2021-3-12 22:54:17

首先确认一下dz本身基本上不存在什么漏洞的安全性跟wp成正比的，即使存在漏洞也是需要前提条件的，或者服务器存在漏洞，dz被黑百分之99问题都出在模板和插件上面，wp也一样，要想针对问题就先从模板和插件下手，推荐使用D盾全站扫描一下，另外把宝塔的日志全下载出来，搜索一下后台显示的那个可疑IP看看有没什么可疑行为，另外查看一下服务器本身有没有问题，最近有没有装什么可以脚本之类的，或者楼主可以打包一份模板和插件过来，有时间帮你看一下。

Full · 发表于 2021-3-12 22:49:55

qitapan 发表于 2021-3-12 22:44
36帖论坛元老。买的号？

被你发现了

战神赵日天 · 发表于 2021-3-12 22:34:51

3.2是老版本了，估计之前的漏洞没填补，被利用漏洞了

Full · 发表于 2021-3-12 22:36:04

宝塔安全日志里没找到痕迹，ssh的登陆日志里也没这个ip。
唯一的线索就知道他改过config.inc.php，但好像也没办法看到是被root还是www用户修改的。

Full · 发表于 2021-3-12 22:44:22

用3.2是因为有些插件在更高版本上用不了。
而且，这些插件，模板基本上都是在淘宝买的。
这站就像一道网，处处都是洞。。。

qitapan · 发表于 2021-3-12 22:44:47

36帖论坛元老。买的号？

Full · 发表于 2021-3-12 22:48:10

现在把全站下下来扫扫毒，
有没有大佬，有思路的。比如，php日志里，sql日志里，能否看到哪个php，或者哪条语句，修改了config.inc.php这个文件。

Full · 发表于 2021-3-12 23:22:37

感谢支招，web打包了还在下，晚上给全部扫一扫。
最近收了一个站，把这个站的web和数据库放到服务器上过，新装了phpmyadmin，我记得之前宝塔爆出过phpmyadmin的漏洞，但那都一年前的事了。而且我看了一下我的宝塔版本是最新的。
网站日志因为硬盘小，之前都没开。php和sql只有错误日志，慢日志。

如果找不到这个入口，可能改密码都没有用

micto · 发表于 2021-3-12 23:32:15

/uc_server/data/config.inc.php 记录的就是UC管理员的密码，如果这个文件被改了，那么就可以登录UC。然后通过UC修改论坛任意用户的密码，还可以清除掉用户设置的安全问答。

		自动登录	找回密码
密码			注册