首先,感谢LZ在排查本次问题中给与的帮助,目前论坛使用的系统版本的官方源代码已找到,但不可能包含任何自行定制部分(当初蓝鲸叔叔和一些管理员,花费不少时间制作的一些有趣的功能)。
6月18日已修复,终于可以用RSS看贴了,于是可能上浮的几率更小了?(TF
原因为:调用生成RSS代码的ASP页面被人修改成了后门/木马的关系。
稍微翻了下日志和文档,考证了下情况,应该这问题从2014年10月30日起就被人恶意篡改了,但好像没人使用这后门的样子。以下为一些后台日志,虽然与RSS的修改漏洞没有直接关联,但可能也是其中的一个前提条件吧(提权漏洞暂时未知,但这系统早就千疮百孔了,所以也不是特别意外)。
visitid | uid | username | groupid | grouptitle | ip | postdatetime | actions | others |
10813 | 81126 | xxxx | 1 | 管理员 | 36.22.19.99 | 2014/10/30 0:33 | 后台管理员登陆 |
|
10814 | 81126 | xxxx | 1 | 管理员 | 36.22.19.99 | 2014/10/30 0:41 | 后台删除用户 | 用户名:批量用户删除 |
是要感谢那人没有造成更大的损害呢,还是要谴责下那人就连我们这种小破站都不放过呢,心情有点复杂=v=b
顺便随机检查了一下其他文件,论坛其实早在2011年9月就被人添加木马页面到现在,这个漏洞还被人在多年间反复使用过(通过腾讯云访问,所以追溯IP之类的意义应该不大了,况且也不能排除对方也是被作为肉机受害者的可能)。我们是要庆幸下,服务器还没被用来被挖矿么Orz
其实这种类似的攻击也不是第一次了,从2010到2014年左右的时间里,经过简单排查能了解到的就有3~4起,大多都是发现后随即处理的,但不免有漏网之鱼,甚至魔高一丈的存在。
众所周知,论坛的系统是年久失修的,这也是一直苦恼管理组的问题之一。
大家的想法是尽量至少继续保留住现有的论坛主题和常用的自主定制功能,同时又希望能够对系统进行升级。
就目前的情况来看,在升级后重新制作主题和功能的情况基本是无法避免的,好在主题的大致外观还不算十分复杂,但可能还是会遗漏些细节吧。
那有人会问,既然都有考虑过这些,为什么没有行动起来呢?于是,这里就公开一些其他情况吧。
KeyFC目前的所在的托管运营商将于今年年底停止所有服务器的托管服务,所以论坛又将要离开已经逗留6年多的小窝了。迁移工作目前预计在11月进行,届时会考虑采取一些方法尽量减少离线维护时间,但肯定无法完全消除离线的一些操作。所以提前先给大家通通气,能更早一些有所准备。详细的情况将在具体方案有所眉目的时候,再正式地向大家通知的。
于是,我们再回到原先的话题上:对于系统的升级,将会在论坛完成今年的迁移后,再次被逐渐提上日程。
在未来的某一天,论坛(坛娘?)也会随着我们一起成长,完成一次次的更新换代吧。
那么,最后希望在将来甚至现在,最近刚步入19岁花季的坛娘少被一些怪叔叔和阿姨欺负,也祝愿大家能在KeyFC玩得开心~
PS:
在此,本人仅以个人及管理组的名义,再次感谢zero4自始至终对于论坛的大力支持。
详情可参见2014年的迁移公告——
https://www.keyfc.net/bbs/showtopic-54607.aspx
-
4
评分次数
-