论坛被攻击？部分文件被修改加载脚本（文件检查） [复制链接] [手机版]

刚刚又看了这里的所有帖子，又补充编辑了一些地方。

今天有看到顾兄在论坛里回了3个帖子，但没有查看（上班中啊。其实偷偷的看看也没事儿）。刚刚看到楼上的是第一个，和优秀有关，很有意思。 但这里并不优秀，甚至非常非常的普通，如凡尘一粒毫不起眼。但要说这里付出了某人的大量心血，我绝对赞同。

攻击，和优秀与否没有关系。我也说不上来。打个简单的比方吧，有的网站会被挂上木马，和那个好像差不多吧。也许是为了什么利益吧，但打这里的算盘实在眼光太差了，因为这里根本没有流量啊。

这里简单说下最后的修改方案吧。起初的方案是在filecheck.htm文件中比较一个设定的时间戳（17楼，if($v[4]>1639929600)）。这里先实现基本功能，也就是先解决能不能的问题，好不好的问题后面可以再研究。这样的话需要更换比较时间戳的时候就要再次修改这个文件，比较麻烦。后来就想能不能把这个比较的时间戳直接在后台设置呢，存储在数据表中？这就是更高级的方案了。如此，就不用修改文件了，换个时间戳分分钟的事儿。结果如何呢，最后自然是如愿了。

1.后台站点设置里添加“数据－文件检查 时间设置”，这个时间戳存储在pw_config数据表中。更换的话比较简单，直接提交即可。

2.filecheck.php和filecheck.htm文件的修改见17楼，只是时间戳比较部分换成了“if($v[4]>$db_filecheck)”，也就是后台设置的那个时间戳。这个就是我们自行添加的“状态”列。比如把时间戳（转换下就是年月日时分秒）设为一个星期前，那从那个时候起之后修改过的文件在“状态”列就会显示为红色的“文件被修改”。我们只要看到其对应的文件，然后下载回来查看下就知道是否被恶意修改了，添加了什么代码等。

３.修改需要检查的文件夹和文件类型，以尽可能的包括论坛所有重点可能被修改的文件。这部分成果见21楼。

大致就这些吧。总结起来简单，实现起来就要付出大量的时间和精力了。

zhangjingyu 那要不要把shtml文件也加进去呢？ (2022-11-17 22:19)  查看本帖 

safefile('./','\.php|\.html|\.htm|\.shtml',0);
本地测试通过，5个shtml也显示了。

再研究mode目录问题。先只统计一种类型的，也就是类似这样的：
safefile('mode/','\.php');
php、htm、html、js分别是510、367、14、57。没错，和软件搜索统计法一样。

准备全部统计下，突然发现代码里似乎有错误：
safefile('mode/','\.js|\.php|\.htm|\.htm|');
最后面怎么是个竖线（应该是“或”的意思）？我去，没仔细检查，写错了（可能是复制错了），难怪。 改为“l”，后台统计948，就是吧，就是这样子的。打字到这里，自己都不禁笑了，真是一个美丽的错误。

好了，让我们改正错误吧。
未知文件:2601    文件被修改:1    文件丢失:0

现在是：
未知文件:2248    文件被修改:1    文件丢失:0

刚刚把后台“状态”列显示为被修改的文件抄在了纸上（大约21个），下载到本地，再和本地备份文件进行对比。除了文件内容完全相同的外，也对本地备份文件进行了同步更新（最近修改的文件）。更新后台时间戳为1668777482，也就是2022-11-18 21:18:02。这是一个新的参考点。此事到此，可以告一段落了。

接下来，我们继续主帖说的

本地研究在后台添加查询，以避免在添加呼号信息时重复添加

的问题，再见。

今晚打开论坛，又出问题了！

图片:537.gif

后台以“alibbvod”为关键词检索，没有找到相关文件（拖动鼠标选定目录）。然后就在“程序文件检查”中查看我们自行添加的“状态”列，果然又发现了不少的js文件被修改了！

图片:538.gif

下载回来，对比。确认后覆盖。找空间提供商的客服，结果没有空儿理我（排队中）。百度搜索也没找到解决的参考办法。只能再说吧。

虽然我们目前还无法避免文件被修改，但至少我们可以知道哪些文件被修改了。这也算是一点进步吧，起码不是盲目的。