51haoyou论坛部分在2019年1月10日被黑客攻入

51haoyou.com中的51haoyou论坛部分在2019年1月10日被黑客攻入。黑客以管理员51haoyouadmin的身份登录后台管理，之前可能以SQL注入直接修改管理员密码的MD5值而更换了管理员密码。如果是这样黑客登出时为什么没有将密码改回来而使得我日后无法登录时发现被黑呢？我不太了解黑客的一些手法，也没想去学，所以不确定黑客本次攻击手法。

不过从后台记录可知，黑客经过了不少天的尝试才得手。但是没有发现黑客修改或删除什么文件。由于我比较谨慎，不是在所有地方使用同一密码的那种。看来黑客没有进入服务器cpanel，或许也没有进入UCenter。总之黑客没有得到更多有用的东西。其实本网或许虚张声势了，实际你进来看和在外面看都差不多，没有什么隐瞒，费太大劲儿不值得。

黑客已经打草惊蛇，手法还是粗糙了一点。不是老手，高手？如果黑客再来，我也只好多多领教和学习，以便提高自己。

我保留权利在适当时候在本网披露黑客攻击时留下的脚印。

又仔细对更多后台日志做了更仔细分析，结论是黑客没有进入服务器cpanel(密码不同），但是进入了UCenter，而且是在准确输入了51haoyouadmin的管理员账号的密码登入的。即黑客获得了或破解了管理员密码。

我的不谨慎的地方是设置了管理员51haoyouadmin在UCenter中也有与创始人一样的全部权力，而管理员处理日常琐碎事务都要经常反复登录，密码很容易被截获和破解。现在管理员即使登录了UCenter，因为没有权限也什么都看不到，做不了。黑客也能截获创始人的密码吗？

余下的问题是黑客是如何得到长度和复杂度都可以说是百分之百满足了要求的密码？黑客还会获得我修改的密码再次登入后台管理吗？且听下次分解......

到今天为止黑客应该没有什么新的攻击尝试，基本没有留下脚印。

但是系统记录显示：

2019.04.12 有一次试图以管理员名和猜测的密码登录，但是密码错误，登录失败被记录，其IP来自香港，尝试的密码还是2019.01.10登录得手时使用的老密码。 也尝试以同样的老密码，并以UCenterAdministrator身份登录UCenter后台，当然也失败，留下脚印。

2019.04.14 有来自印度尼西亚的IP在尝试注册时，被系统以输入非法字符予以拒绝。

2019.04.04 有来自美国的IP尝试通过手机标准版访问论坛失败留下脚印，因为本网已经通过删除目录 ./template/default/mobile/，来简单避免手机标准版下的潜在漏洞被利用。实际现在网友以手机访问本网时，系统自动启用触屏版，不需要标准版了，除非你是通晓discuz的“内行”，在网址里包含特殊参数，指定访问路径和方法。

以上提到的IP，仅作参考，实际黑客可以隐藏其真实IP的。

似乎本网一番查找和封堵漏洞后，很有效。择机再披露一下本网自2019.01.10被黑后的改进方法。

似乎2019年10月28日以后，黑客才真正停止了暴力破解。

以前运行记录中的 密码错误（表）和系统错误（表）总是不停地有新的记录，不知道谁像傻子一样，没头没脑地用同一个密码尝试登录，明明密码错了，明明连用户名也好像是随便写的一个不存在的。现在我在《服务器端程序中加入判断用户登录密码是否在客户端就加密了,否则中断php程序》，《改进Discuz手机版，也真正实现在客户端就加密用户密码，然后再传输》之后，这些看似荒唐的大量错误记录嘎然停止了，彻底同时停止了。说明它是一个有计划的暴力破解的尝试。一旦被识破，一旦没有了成效，立即收兵了。这是有人一直在变换不同代理服务器IP地址，却尝试着同一内容的密码，使用不同用户名，以平均每半个小时到每一个小时一次的频率尝试着。

下面是系统后台 - > 运行记录 - > 用户记录 - > 密码错误（表）201910_illegallog.php

时间	IP 地址	尝试用户名	尝试密码	安全提问
19-10-28 02:52	91.132.138.60	Harryref	L15%ctb6ykP	Ques #0
19-10-28 02:01	84.39.112.91	ShermanKig	Skvwfb898@Q	Ques #0
19-10-27 15:15	95.216.145.1	deeih69	x4ivygA51F	Ques #0
19-10-27 14:37	84.39.112.91	ShermanKig	Skvwfb898@Q	Ques #0
19-10-27 12:01	185.220.101.70	chaddb1	x4ivygA51F	Ques #0
19-10-27 11:42	185.220.101.35	simonerl1	x4ivygA51F	Ques #0
19-10-27 08:12	109.70.100.29	vernonwz2	x4ivygA51F	Ques #0
19-10-27 04:43	209.95.51.11	erickanz3	x4i***1F	Ques #0
19-10-27 04:35	109.70.100.26	lauriewk4	x4i***1F	Ques #0
19-10-27 00:55	18.27.197.252	marylouyp4	x4i***1F	Ques #0
19-10-26 22:02	46.166.172.59	ShermanKig	Skv***@Q	Ques #0
19-10-26 21:16	89.163.239.216	marvaxc1	x4i***1F	Ques #0
19-10-26 20:44	46.246.65.139	Dennisbok	f36***9F	Ques #0
19-10-26 20:44	46.246.65.139	Zacharykix	jiH***uH	Ques #0
19-10-26 18:06	37.220.36.240	lorriejs3	x4i***1F	Ques #0
19-10-26 12:54	46.165.245.154	nanetteuu60	x4i***1F	Ques #0
19-10-26 11:04	46.246.65.221	Martinwiz	cao***6I	Ques #0
19-10-26 09:43	171.25.193.78	priscillaxr2	x4i***1F	Ques #0
19-10-26 06:34	171.25.193.78	morrisxm1	x4i***1F	Ques #0
19-10-26 06:32	185.103.110.204	ShermanKig	Skv***@Q	Ques #0

注：x4i***1F是discuz原来有意缩略显示出来的尝试密码，x4ivygA51F是我修改了显示程序，使密码被完整显示出来得结果。2019-10-28是我完成《服务器端程序中加入判断用户登录密码是否在客户端就加密了,否则中断php程序》，《改进Discuz手机版，也真正实现在客户端就加密用户密码，然后再传输》的时间。

注：因为以上记录到的密码（如，x4ivygA51F，只有10位字）不是加密过的32位字的MD5值，所以这个尝试攻击来自手机（版），而不是来自电脑（版）。由一个或一个以上的手机打一枪，换一个代理服务器，日积月累地采集数据。真下功夫。建议用个云计算机，还要伪装成一部手机来做。不过在本网手机现在也不能了。

下面是系统后台 - > 运行记录 - > 系统记录 - > 系统错误（表）201912_errorlog.php

时间	内容
2019-12-07 02:16:06	您当前的访问请求当中含有非法字符，已经被系统拒绝 PHP:portal.php:0018 -> source/class/discuz/discuz_application.php:0071 -> source/class/discuz/discuz_application.php:0560 -> source/class/discuz/discuz_application.php:0373 -> source/function/function_core.php:0023 -> source/class/discuz/discuz_error.php:0024 User: uid=0; IP=188.113.3.249; RIP:188.113.3.249 Request: /discuzx3.2/portal.php?mod=view&aid=20&mobile=2'A=0
2019-12-05 02:28:01	您当前的访问请求当中含有非法字符，已经被系统拒绝 PHP:member.php:0026 -> source/class/discuz/discuz_application.php:0071 -> source/class/discuz/discuz_application.php:0560 -> source/class/discuz/discuz_application.php:0358 -> source/function/function_core.php:0023 -> source/class/discuz/discuz_error.php:0024 $_GET_formhash: 17a2b1fb formhash(): 812edab2 User: uid=0; IP=185.220.101.15; RIP:185.220.101.15 Request: /discuzx3.2/member.php?mod=register

你们以后会不会要考虑DDoS和CC攻击了吧？不值得！？

在2019年1月10日之后，应该没有再被黑客攻入过，虽然发现和记录过攻击者的一些尝试。最近也有一点苗头。

实际上在2019年1月10日之前和之后，本网站都对一些关键的代码做了修改和补充。以后可以找机会介绍一下都是哪里做了修改。但是现在不便公开代码的修改部分，恐被黑客找出破绽。最好的那些防范代码，是那些黑客不知道、猜不到和猜不透的代码。

Discuz因为代码的公开，被黑客攻击的最多。所以每个Discuz站长，都应设法在一些关键地方私密地修改代码。

Discuz class_image.php中的问题可能现在也没有官方的有效的修改方案。本网到现在的修改也不算是完善的，不敢公开。但要知道在调用图片和视频时的处理，如同像调用外部输入参数一样，需要过滤输入、验证数据。

本网，彻底关掉了对Discuz云平台访问部分。也找出代码中所有访问腾讯，Discuz网站的链接，注释掉或删除掉。

本网，关闭了Discuz的UCenter实现同步登录功能，里面有潜在的漏洞。实际上很多网站中也不需要所谓同步登录功能。即使需要也最好自家编写相应代码。黑客最容易攻击的地方就是这些所谓给客户最好的体验的、自动实现的连接和转接的地方。方便用户，增强用户体验度与网站安全是一对矛盾，有时你觉得，方便用户就是方便黑客，反之亦然。要想同时加强二者，要花成倍成倍的努力。

本网学习和引入了一些互联网上防止xss攻击的代码加入在了用户发布帖子等时，将发布内容存入网站数据库之前和调出网站数据库之前。看来有效果。

还有很多细微之处的改进，增加了用户体验度，或数据安全。很多改进是可以公开介绍的。或许有时间单写一篇文章。