昨儿个一大早,刚泡完茶想刷刷后台,跳出来个404。我心里咯噔一下,这不是被人摸进来了?赶紧打开FTP瞅一眼,好家伙,根目录底下多了俩贼眉鼠眼的PHP文件,名字怪得很,一看就不是正经东西。这还得了?立马抄家伙开工!
第一步:停水停电先保命
- 断网关闸门:二话不说,先登进服务器控制台,啪地一下把网站服务给停了。人都闯家里了,还开着大门迎客那不是傻么?
- 冷冻数据库:扭头就去phpMyAdmin把数据库导出拉下来,压缩包顺手扔本地硬盘和网盘各存一份。这叫保命粮,万一改崩了还能回滚。
- 锁死后台:摸到网站后台地址那个文件夹,直接重命名加个"_old"。贼人就算知道原路径也摸不着门了。
第二步:清场抓内鬼
挂着数据线回FTP,拿根目录文件列表跟官方原版压缩包逐个对。发现仨可疑分子:
- 一个藏在cache夹缝里,伪装成cache_*
- 俩躲在uc_server底下,起了个data_*的假名
当场给这仨删得干干净净,顺手把install目录也干掉——装都装完了留着给人当梯子么?
第三步:焊死门窗缝
摸出官方那个discuz_update_20240101补丁包,对照说明挨个覆盖文件。重点盯着source/class/*,这玩意儿就跟防盗门锁芯似的。补丁打上还不放心,又改了几个要命的地方:
- 后台登录地址从*改成自己起的偏僻名字,什么水果蔬菜都往上怼
- config_*里找到$admincp['forcesecques'],0改成1,逼着所有管理员设安全问答
- 数据库账号密码全换成20位混合乱码,记事本都记串行那种
第四步:放狗巡院子
重启服务后第一件事,开新隐身窗口溜进后台。先查用户组权限,把什么HTML代码、附件权限这些容易藏刀片的按钮全关掉。接着翻应用中心,所有不明来路的插件全卸载,连垃圾箱都清空。掏出在线木马扫描器里外扫三遍,确认没留后门才松口气。
忙活到天黑,看着安全宝箱里新增的六位数验证码登录,泡面都坨了也觉得值。这波折腾下来最大的教训——别等狼啃门板了才想起补篱笆,每月固定查两次补丁比事后抹眼泪强百倍!