3.4 版本似乎存在漏洞

zhansh

<?PHP exit;?>        UCenterAdministrator        ...        login        error: user=UCenterAdministrator; password=aa***6
<?PHP exit;?>        UCenterAdministrator        ...      app_add        appid=2; appname=a
<?PHP exit;?>        UCenterAdministrator        ...      app_delete        appid=2

程序沒修改過，都是 3.4 原版 20211231 最新的程序UC密碼也不是上面那個(gè)密碼，但是被添加應(yīng)用，日志如上，是什么問題呢？
難道 UC 可以存在兩個(gè)登錄密碼嗎？

我知道答案 回答被采納將會(huì)獲得1 貢獻(xiàn) 已有27人回答

老周部落

密碼不對(duì)是添加不了的，另外添加應(yīng)用的開關(guān)默認(rèn)是關(guān)閉的，感覺還是密碼被爆破了。

老周部落

另外這個(gè)第一條日志是密碼錯(cuò)誤，估計(jì)不停嘗試之后攻擊者嘗試到了正確的密碼。

zhansh

老周部落 發(fā)表于 2022-1-23 19:57
另外這個(gè)第一條日志是密碼錯(cuò)誤，估計(jì)不停嘗試之后攻擊者嘗試到了正確的密碼。 ...

老周講的對(duì)，沒有 login succeed 的記錄，但是應(yīng)用確有被添加和刪除的記錄，另外密碼很復(fù)雜，爆破是不可能的，其他還植入了一些文件的，我的程序沒改過是最新版，所以我覺得 UC 還是有漏洞。

老周部落

zhansh 發(fā)表于 2022-1-23 20:42
老周講的對(duì)，沒有 login succeed 的記錄，但是應(yīng)用確有被添加和刪除的記錄，另外密碼很復(fù)雜，爆破是不可 ...

如果您確定不是第三方插件引入或者之前攻擊沒清理干凈的話，請(qǐng)上傳 Web Server 、 PHP 、Discuz! 以及 UCenter 自身日志并設(shè)置 255 權(quán)限，我找人去看。

老周部落

zhansh 發(fā)表于 2022-1-23 20:42
老周講的對(duì)，沒有 login succeed 的記錄，但是應(yīng)用確有被添加和刪除的記錄，另外密碼很復(fù)雜，爆破是不可 ...

另外問一下網(wǎng)站之前有沒有被日過，日過只有有沒有完整清理網(wǎng)站完了重裝服務(wù)器再上線？

zhansh

老周部落 發(fā)表于 2022-1-23 20:48
如果您確定不是第三方插件引入或者之前攻擊沒清理干凈的話，請(qǐng)上傳 Web Server 、 PHP 、Discuz! 以及 UC ...

整理了下WEB日志及活動(dòng)見附件，UC的就是上面那些，別的日志都正常的

zhansh

老周部落 發(fā)表于 2022-1-23 20:55
另外問一下網(wǎng)站之前有沒有被日過，日過只有有沒有完整清理網(wǎng)站完了重裝服務(wù)器再上線？ ...

以前也有，但是文件都重新傳過，清理干凈了的，謝謝老周，有空幫分析下，謝謝！

老周部落

zhansh 發(fā)表于 2022-1-23 21:59
整理了下WEB日志及活動(dòng)見附件，UC的就是上面那些，別的日志都正常的

收到，我找人去下載，可能時(shí)間略長，您耐心等待。

老周部落

zhansh 發(fā)表于 2022-1-23 22:00
以前也有，但是文件都重新傳過，清理干凈了的，謝謝老周，有空幫分析下，謝謝！ ...

您好，幫您核實(shí)完了。主要是懷疑 uc_server/data/config.inc.php 的 UC_KEY 以及應(yīng)用的 UC_KEY 已被黑客知曉導(dǎo)致的。
建議您重新生成新的 KEY 替換。