本周在安全界最热门的话题莫过于“谁有Discuz论坛的0day”,接二连三的社区被爆,有一名社区会员在18日发布了紧急公告,称此漏洞为高危漏洞,极其严重,并提供了安全补丁。
在Discuz官方社区有一位会员发布紧急公告,称请Discuz用户检查网站中是否包含了可供挂马的Webshell,并称Discuz官方论坛也未能幸免,被挂马。而Discuz官方业已发布相关的安全补丁。

帖子内容如下:

这个可能存在的漏洞造成的危害是极其严重的, 通过利用在服务器中生成的 Webshell, 黑客可以用它来挂马、修改数据乃至清空整个论坛数据! 请每个看到这个帖子的站长立即检查论坛下面有没有以下文件, 如果有, 请立即删除!

./usergroup_0.php
./forumdata/cache/usergroup_0.php

除此之外, 如果发现论坛有字体变大等现象, 请进入后台 风格管理 的高级模式, 检查有没有异常的 自定义模板变量, 有则删除之并更新论坛缓存!

如果发现了上述恶意文件, 请删除后检查论坛模板, 查看是否被人挂马等. 删除文件后, 请密切关注这些异常文件是否会再次出现.

下面发布一个我写的扫描程序, 它可以扫描出论坛中 usergroup_*.php、style_*.php 等缓存文件是否有 Webshell, 附件目录是否存在 php/asp 文件, 模板中是否有外链存在 (有外链则表示有可能被挂马), 以及 stylevars 表中的非法数据.

如果比较懒的朋友可以用这个程序对论坛进行一次扫描. 使用方法很简单, 下载后解压缩并将 scansw.php 上传至论坛根目录, 打开后选择需要扫描的项目并点击开始扫描即可。

原帖:http://www.discuz.net/viewthread.php?tid=1385006

Discuz! 20090818 安全补丁:http://www.comsenz.com/Disucz_patch_20090818.zip