正经说说weshell渗透漏洞防御——discuz篇

这期讨论的话题是webshell，我的话，安全防范会做的比较好一点，找BUG手段也在学，所以我们还会有一期讨论关于攻击与防御的文章。

同时，我也最近在腾讯安全响应中心注册账号，小试牛刀话估计会选择腾讯平台，毕竟腾讯产品多，存在问题可能也多，奖励好。

但有一点，找bug的时候，最好给自己做个几层跳板，少用工具扫描，有时候意义不大，不如先用逻辑判断是否存在漏洞，然后再去挖掘。

前言

安全龙网站使用discuz系统的，在2014年左右，安全龙被人入侵脱裤，所幸，我mysql每天都有在00点进行自动备份，web目录7天备份一次。这个备份脚本，我过几天整理下，做期话题，把教程共享给大家。

全龙被攻击那天，是discuz一次漏洞，这个漏洞在2015年才被曝光，他是利用xss获取了我的登录密码，然后进入admin.php后台，在利用站点域名写入php一句话，在html模板生成php一句话文件，用中国菜刀连接这个php后面文件，实现提取。那时候好气，被好几个与hakc有关博客站长搞来搞去。

当时我有做了份关于这份漏洞教程，发布在网站上，点击8000多/回复140多；连接地址http://www.anquanlong.com/thread-44275-1-1.html

准备

经过那件事情，我做了什么呢？来进行挽救的呢？

1、xss防御，在之前有写了篇xss文章，内容也很多，大家还没阅读可以再去读一读。揭秘XSS漏洞灰色商业操作

2、admin.php防御

xss防御

首先，安全龙一直没有购买加密证书，用https协议，对于一些post或者get请求没有加密，直接明码传输。说说配置SSL证书https那些坑，经验教程分享

本身discuz不管在哪个版本，都有存在xss漏洞，加上当时我很少管理网站，一些发布帖子和评论权限，设置的不到位，所以很容易被xss攻击。

然后我不经意访问到xss插入的地方，获取了我的cookie或者我正好提交登陆，密码就会被对方给获取，从而实现进入管理后台。

那时候，我就在，网站后台，登录时候，加了一层md5加密密码的计算，discuz本身具备这样功能。

这样子可以简单，防护下xss攻击；那是什么原理呢？首先控制这项设置在/source/admincp/admincp_faq.php这个文件；控制MD5验证在/source/module/membermember_getpasswd.php这个文件。

那么他做了什么简单工作呢？

1、前端界面MD5运算

2、后台php，MD5验证

admin.php防御

当时，一度删掉admin.php这个文件，但是自己又懒得改前端用户与网站管理的路径，所以就没动这个念头。然后加了句if语句，判断是不是管理者用户，如果不是管理组用户访问admin.php就直接跳转到主页。

如果xss攻击被抓了cookie呢？admin.php本身有一个ip判断，如果管理员在不同ip会判断让你再次验证登陆密码。

所以为了更安全，建议设置管理员登录时候，验证问题回答

完结

其实，我这些简单的防御不足以保证你的discuz网站安全；本身discuz是处于开源，存在很多漏洞，但如果你做了可以起到一些基本保障。同时，我有做了Linux网站目录、文件权限规范。如果有路过大神别搞我，谢谢。

是不是感觉本期文章很没意思？

答：如果你是做站用到discuz估计会感兴趣。

是不是还要做期主流的cms程序：织梦、WordPress？

答：会的，请持续关注本站

什么时候要写期真正有含量的webshell攻击相关？

答：大概会这个月末左右吧。

什么是webshell？

答：获取webshell的十种方法

什么是中国菜刀？

答：黑客怎么给中国菜刀添加相关的隐藏后门

什么是php一句话？

答：PHP: <?php @eval($_POST['pass']);?>

程序员怎么防止php一句话？

答：参考下这个代码<script language="php">@eval_r($_POST[sb])</script>

题外

如果你用了cms建站，然后用阿里云，阿里云给你报漏洞怎么办？

我个人感觉可以不用购买他的服务防护修复漏洞“云盾”，那个服务好像一年要1000+呢，你可以复制他漏洞标题，然后百度一下，自己动手修复下就好了。

文章出处：安全龙    cyj