论坛被攻击？部分文件被修改加载脚本（文件检查） [复制链接] [手机版]

对pwFilemtime()函数比较感兴趣，搜索本地备份文件的同时，也在网上搜索。本地大致有29条搜索结果，而且有意思，有意义的是它可以直接比较，因为它返回的是时间戳（在网上看到的）。
} elseif ($langfile && pwFilemtime($langfile) > pwFilemtime($path)) {

php filemtime函数用于返回文件内容上次的修改时间，其语法是filemtime(filename)，参数filename必需，指规定要检查的文件。

定义和用法

filemtime() 函数返回文件内容上次的修改时间。

若成功，则时间以 Unix 时间戳的方式返回。若失败，则返回 false。

说明

本函数返回文件中的数据块上次被写入的时间，也就是说，文件的内容上次被修改的时间。

提示和注释

提示：本函数的结果会被缓存。请使用 clearstatcache() 来清除缓存。

1、filemtime():文件内容最后一次被修改的时间：

echo date('Y-m-d H:i:m',filemtime('aa.txt'));
2、filectime():文件客观属性最后一次被修改的时间（文件管理组、所属权限等）：

echo date('Y-m-d H:i:m',filectime('aa.txt'));
3、fileatime():文件最后一次被访问的时间：

echo date('Y-m-d H:i:m',fileatime('aa.txt'));
4、touch() 函数设置指定文件的访问和修改时间。如果文件不存在，则会被创建。

touch(filename,time,atime);time和atime两个参数都是可选的。

touch('aa.txt');
尝试将由 filename 给出的文件的访问和修改时间设定为指定的时间。如果没有设置可选参数 time，则使用当前系统时间。如果给出了第三个参数 atime，则指定文件的访问时间会被设为 atime 。如果成功则返回 true，失败则返回 false。

php文件里面的：
if (file_exists($monthFile)) $cachetime = pwFilemtime($monthFile);
这个写法，简单。

zhangjingyu 然后，还有什么？备份一段代码，1楼提到的“文件检查”的有关代码：
} elseif ($adminitem == 'filecheck') {
    /*程序文件检查*/
    if(!$files = readover('admin/safefiles.md5')){
      .. (2022-11-10 23:10)  查看本帖 

可以仿照9到20行的代码，把所有需要检查的文件夹都放进去，就基本可以检查所有需要检查的论坛文件了！不是吗？

后台模板文件filecheck.htm　
备份文字和数字的对应关系：1未知文件，2文件丢失，3文件被修改
<td class="td2"><!--
EOT;
if($v[3]=='1'){print <<<EOT
-->
        <font color="green"><span class=s2>未知文件</span></font>
<!--
EOT;
}elseif($v[3]=='2'){print <<<EOT
-->
        <font color="blue"><span class=gray>文件丢失</span></font>
<!--
EOT;
}else{print <<<EOT
-->
        <font color="red"><span class=s1>文件被修改</span></font>
<!--
EOT;
}print <<<EOT
-->
      </td>

$filemtime = get_date(pwFilemtime($file));这行应该是获取文件时间，我们能不能加个时间判断，以在后台突出显示？也就是大于某一个时间，显示为红色等，可以单独增加一列。

初步实现，增加了“状态”列，比较的是文件最后修改时间戳。

图片:533.gif

代码简单记录下（红色为新增）：
filecheck.php
        } else{
            $filemtime = get_date(pwFilemtime($file));
            $filesize  = filesize($file);
            $xiugai = pwFilemtime($file);

            if(in_array($file,$md5_m)){
                $cklog[3]++;
                $dirlist[$dir][] = array($filename,$filesize,$filemtime,'3',$xiugai);
            } elseif(!in_array($file,$md5_c)){
                $cklog[1]++;
                $dirlist[$dir][] = array($filename,$filesize,$filemtime,'1',$xiugai);

filecheck.htm
    <tr class="tr2 vt td_bgB">
      <td>文件名</td>
      <td>状态</td>
      <td>文件大小</td>
      <td>最后修改时间</td>
      <td>文件状态</td>
    </tr>
<!--
EOT;
foreach($value as $k=>$v){print <<<EOT
-->
    <tr class="tr1 vt">
      <td class="td2">$v[0]</td>
      <td class="td2"><!--
EOT;
if($v[4]>1639929600){print <<<EOT
-->
        <span class="s1">文件被修改</span>
<!--
EOT;
}print <<<EOT
-->
</td>

文字部分再斟酌吧。不早了，明天添加目录，以能基本查看全部论坛文件（图片，缓存文件等就不需要添加了）。
    safefile('./','\.php',0);
    safefile('admin/','\.php');
    safefile('api/','\.php|\.html');
    safefile('apps/','\.php|\.htm');
    safefile('hack/','\.php|\.htm');
    safefile('js/','\.js',0);
    safefile('lib/','\.php|\.html');
    safefile('mode/','\.js|\.php|\.htm');
    safefile('require/','\.php');
    safefile('simple/','\.php');
    safefile('template/','\.php|\.htm');
    safefile('m/','\.php');

终于好了，不容易！
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝分隔线＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
本来以为（覆盖文件后）一切都正常了，可是不知是从几天前起，表情不显示了；“回顶部”按钮也不显示了；帖子不能编辑，点“发布”就像按了返回键似的，提示退出什么的；回帖时会提示什么xml错误；点“每日打卡”没反应……很是头疼。但本地论坛一切都没有问题，手机访问家园论坛也一切正常（很是疑惑，手机访问一直都是没有问题的，难道真的不加载js吗？之前说过），所以不确定到底是不是论坛的问题。电脑有问题吗？可惜家里就这一台笔记本，没法用其它的电脑测试（用快译典测试也没有问题，难道是安卓系统的缘故？）。用360安全卫士检查电脑，查木马，系统修复等，还是没用。

后来想到（应该是昨天晚上），是不是浏览器的问题？换搜狗和360安全浏览器也是一样。最后用ie，会提示网页上有错误，双击查看，提示文件有问题，虽然不确定其准确性，还是下载回来看了看。

图片:534.gif

没想到真有问题！文件后面再次被加了代码！

图片:535.gif

后台“文件搜索检查”里以其中的“0x6658”为关键词在整个论坛文件夹中搜索，没想到大概找到了78个文件（昨晚的事儿，记不清了，没截图），似乎还是起初被修改的那些？这怎么解释？

再次覆盖两个文件ad/fanpai/fanpai.js和system/magicplayer.js，两个文件夹highslide和js。另外一个是缓存文件，没有覆盖。论坛再次正常了，难得啊，好几天了，不容易啊，真的！