Discuz搭建的论坛被改成MDBC？ | 记一次恶意攻击的修补与反向定位

前言

前段时间给用discuz框架搭了个在线论坛(搭建过程)，由于discuz框架是开源的， 用起来也比较方便，所以用户基础还是挺多的。但这个框架的洞也比较多，经常被打…我那个论坛连域名还没解析，不知道咋被盯上的。直接从论坛变成了线上赌场… 就是输入地址能正常打开论坛，但是点击按钮之后就会跳转到如下博彩页面。

解决过程

今天有空上午一边查资料一边找web大佬帮忙弄了一下
先查了下相关资料
然后推测他的跳转网址应该写进了服务器某个文件里面，于是用他的网址进行grep搜索，命令如下

grep 'XXX.cn' -r ./

然后找到了他挂马的地方，也就修改了一下跳转，估计是用哪个discuz的洞getshell来打的，看了下log发现还打了好几天…(不过这意识估计不是专业出身，log文件都没动，连扫描的IP都不加代理，后面直接能通过IP反向定位他)
然后修改一下重定向代码(修改完要删一下浏览器对该网站的记录，不然又缓存还会跳转)

之后再重新点击就能正常显示了。

利用日志文件反向定位

前面说到攻击者很水，基本的意识都没有。查了一下access.log日志可以很明显的看到扫描记录，顺藤摸瓜就能查到攻击者的IP地址。

通过这一条可以看到攻击者的IP地址！！他竟然代理都不挂，真的头铁。
通过这个ip地址就能定位到攻击者地区(具体过程不说了,放一张大致的定位图)

后记

考完试放假明天就出去浪了，本来还想报个案把这个赌场打了的，但也没造成什么损失就不想太麻烦了。出于种种原因，很多细节写不了。大家看着就图个乐，最后还想提醒大家一下：嫌疑人定位在云南，并不是所谓的缅甸境外，网页做的再好看也是骗人的，网络赌博不可信，希望大家能警惕网络犯罪，远离杀猪盘！