「设为首页」「收藏本站」

　　WEB开发网（cncms.com.cn）讯：2009年8月21日，康盛创想（北京）科技有限公司就之前倍受站长关注的0day漏洞发布安全补丁，请使用任何版本的discuz!程序的站长及时安装补丁程序，以免造成不必要的损失。

　　更新描述：

　　Discuz！后台自定义风格功能模块由于用户提交数据的合法性判断不足，造成管理员可以构造特殊数据生成缓存文件。当管理员账号泄露或者被窃时，将直接威胁论坛的安全使用。

　　安全威胁：中

　　修补办法：

　　1. 首先下载补丁文件 Discuz_patch_20090818.zip

　　2. 在本地解压缩文件包，根据您目前的版本，选择相应的文件夹

　　3. 将文件夹内的文件上传至论坛所在服务器，覆盖原有文件

　　4. 使用 FTP 删除论坛 forumdata/cache/ 目录里面的所有文件

　　5. 访问您的论坛，此时，论坛会自动更新并生成所有缓存文件

　　重要提示：

　　为保障您论坛的安全，更新完毕以后，请进入论坛管理后台，使用工具 --- 文件校验功能对您的文件进行安全校验。如在站点目录中发现多余文件，请即刻删除。

　　如果有文件被修改，请务必确认修改文件的行为是站长自身，否则请使用标准程序进行覆盖。

　　2009年08月17起，有众多站长反应，自己的论坛被入侵，空间莫名多出来usergroup_0.php文件，与此同时，在国内多家知名的安全论坛，均现大量帖子寻找“Discuz论坛的0day”，在接下来几天时间内，包括discuz!官网在内大量使用discuz!构建的论坛均遭到挂马。

　　8月18日，在Discuz官方社区有一位会员发布紧急公告，称请Discuz用户检查网站中是否包含了可供挂马的Webshell，并称Discuz官方论坛也未能幸免，被挂马。而Discuz官方业已发布相关的安全补丁。

　　帖子内容如下：

　　这个可能存在的漏洞造成的危害是极其严重的, 通过利用在服务器中生成的 Webshell, 黑客可以用它来挂马、修改数据乃至清空整个论坛数据! 请每个看到这个帖子的站长立即检查论坛下面有没有以下文件, 如果有, 请立即删除!

　　./usergroup_0.php
　　./forumdata/cache/usergroup_0.php

　　除此之外, 如果发现论坛有字体变大等现象, 请进入后台风格管理的高级模式, 检查有没有异常的自定义模板变量, 有则删除之并更新论坛缓存!

　　如果发现了上述恶意文件, 请删除后检查论坛模板, 查看是否被人挂马等. 删除文件后, 请密切关注这些异常文件是否会再次出现.

　　下面发布一个我写的扫描程序, 它可以扫描出论坛中 usergroup_*.php、style_*.php 等缓存文件是否有 Webshell, 附件目录是否存在 php/asp 文件, 模板中是否有外链存在 (有外链则表示有可能被挂马), 以及 stylevars 表中的非法数据.

　　如果比较懒的朋友可以用这个程序对论坛进行一次扫描. 使用方法很简单, 下载后解压缩并将 scansw.php 上传至论坛根目录, 打开后选择需要扫描的项目并点击开始扫描即可。

数据统计中！！

------分隔线----------------------------

logo