博客 (96)

1. 登录 UCenter，添加应用

   

   选择 DiscuzX，并填写名称和密钥等信息

2. 正常的话，提交后会自动更新缓存文件 /uc_server/data/cache/apps.php，如果没有更新，检查添加这个文件的写入权限，并在后台更新缓存。

3. 在编辑应用界面底部可以看到“应用的 UCenter 配置信息”

   
   

4. 复制这段内容，粘贴到 /config/config_ucenter.php。

5. 在 Discuz! 控制面板 - 站长 - UCenter 设置 中可以看到这些配置信息。标签名为灰色的是从配置文件读取的，无法在此修改。

6. 返回 UCenter 中心的应用列表可以看到“通信成功”

   
   

当前 PolarDB 集群和自定义地址暂不支持压缩协议。如果你使用的是 Discuz! X3.5，则需要修改 Discuz! 驱动的代码：

搜索 MYSQL_CLIENT_COMPRESS 关键字，将 MYSQL_CLIENT_COMPRESS 改为 null。

搜索 MYSQLI_CLIENT_COMPRESS 关键字，将 MYSQLI_CLIENT_COMPRESS 改为 null。

今天早上同事反映论坛某管理账号无法登录，于是我尝试用创始人账号登录，也不行，第一反应就是中招了。

于是进阿里云控制台，发现云安全中心有许多安全警告，类型是网站后门，幸好 nginx 中设置了仅部分文件可执行 PHP，这些后门文件无法被执行。

尝试在 config_global_default.php 文件中添加创始人，但账号必须是副站长等管理账号才能成为创始人。

于是借用一个小号，从表 pre_ucenter_members 中将这个小号的 password 和 salt 复制到创始人账号中，这样创始人账号就可以用这个小号的密码登录了。

进入论坛后台，在 工具-运行记录-系统记录-后台访问 中查看入侵时间段的记录（操作、时间、IP 等），可搜索。

发现基本上在操作模板管理和专题管理。

对比时间，发现进入后台操作在先，上传后门在后。

查询 web 访问日志，通过访问文件路径或 IP 查询，在进入论坛后台之间，他进入了 UCenter 的后台，但是再往前就没有记录了。

因此基本可以确定：

黑客从 UCenter 修改了某管理员账号的密码（可能是利用漏洞），然后登录论坛后台修改了创始人的密码（可能也是用 UCenter 改的），通过模板管理和专题管理功能的上传功能上传了后门文件。

索性他没有对数据进行破坏性处理，也没有挂马，只是发现后门文件无法执行就放弃了。

打开 JS 文件，查找：

o+=String.fromCharCode(t.charCodeAt(r)^i[(i[e]+i[s])%256]);

水印文字是从这个变量 o 输出来的，可以在这句的后面，“return o”的前面插入“console.log(o)；”看到效果。

因为它是一行一行返回的，所以将

return o

改为下面的三目即可：

return o=='GoJS 3.0 evaluation'||o=='(c) 1998-2024 Northwoods Software'||o=='Not for distribution or production use'||o=='gojs.net'?'':o

修改方法来源于网络，仅供学习参考，请勿用于生产环境，请支持正版！

宝塔面板中-安全-系统防火墙 功能非常丰富，特别是“地区规则”用来屏蔽来自国外的请求非常有用，那些通过 URL 来找网站漏洞的恶意请求大多来自国外。但是添加规则经常无反应

于是找到这个功能对应的配置文件：/etc/firewalld/zones/public.xml

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <port protocol="tcp" port="80"/>
  <port protocol="tcp" port="443"/>
  <masquerade/>
  <rule family="ipv4">
    <source address="43.131.232.135"/>
    <drop/>
  </rule>
  <rule family="ipv4">
    <source address="103.150.11.45"/>
    <drop/>
  </rule>
  <rule>
    <source ipset="US"/>
    <drop/>
  </rule>
  <rule>
    <source ipset="GB"/>
    <drop/>
  </rule>
</zone>

修改完成后重启防火墙。

但是看到的效果好像并不一致，甚至有时候服务器重启后防火墙是关闭的，但是有时候又是生效的。

关键的问题是CPU占用异常高。

反正宝塔的系统防火墙功能挺好挺强大，但是用起来不稳定不顺手，有些暴殄天物了。

相关阅读：

系统防火墙添加规则转圈卡死

2024年8月30日补充 ：宝塔面板中配置禁用IP等规则时，提示保存成功或未提醒是否成功，但效果是未成功。其实在宝塔自己的配置里已经记录了（包含备注），但在系统防火墙配置文件中未更改成功，手动修改系统防火墙配置文件就能完全修改成功。（系统防火墙配置文件中没有备注信息，根据IP地址等规则与宝塔自己的配置文件里的记录关联后，在宝塔面板安全模块中展示出来就有备注了。）

2024年8月30日下午补充：在宝塔的软件商店找到这个应用，看到红色的说明，啥都明白了：

于是果断关闭了系统防火墙，开始研究其它替代方案。

.NET SDK 的版本 8.0.303 至少需要 MSBuild 的 17.8.3 版本。当前可用的 MSBuild 版本为 16.11.2.50704。请将在 global.json 中指定的 .NET SDK 更改为需要当前可用的 MSBuild 版本的旧版本。

解决方法：

运行 Visual Studio Installer，

选择相应 VS 版本进行修改，

切到“单个组件”，

勾选“.NET SDK (out of support)”，

点击修改并继续。

控制台 - 全局 - 站点信息 - 站点名称

控制台 - 全局 - SEO设置 - 论坛

1. 购买 ECS
   

2. 解析域名（非网站域名）、修改实例名称、主机名

3. 设置阿里云（重要）

4. 远程连接进入 ECS（若解析未生效可以先用 IP）（若新服默认使用 22 端口，可在阿里云控制台登录系统，或先在安全组临时放行 22 端口）

5. 修复系统漏洞

6. 将磁盘挂载到目录（fdisk、df 命令参考：https://xoyozo.net/Blog/Details/SSH）

7. 安装宝塔面板（本文以宝塔面板方案为例，选择任何你喜欢的环境部署方案都行）。可以在阿里云控制台ECS实例页安装扩展程序

8. 临时放行宝塔面板端口，进入宝塔面板（http方式）

9. 配置面板 SSH、添加新的安全端口、面板设置

10. 更改 SSH 默认端口（参：https://xoyozo.net/Blog/Details/change-default-port）
    

11. 安装 nginx、PHP 等

12. 配置 PHP 扩展（Redis、sqlsrv（注意选择兼容的版本）、memcached 及端口）

13. 创建网站，配置网站（路径、伪静态等）

14. 迁移网站文件（参：https://xoyozo.net/Blog/Details/SSH）

15. 仔细对比新旧网站的配置文件（特别是 .php 的访问权限，参：https://xoyozo.net/Blog/Details/nginx-location-if）

16. 设置写入目录（使用 rsync 同步的文件会同步用户和权限）

17. 解析域名（先改 hosts 测试网站功能）

18. 更改内网其它 ECS 上的 hosts

19. 关闭原 ECS（能马上发现问题，不然等运行一段时间才发现问题就麻烦点）
    

20. 设置 FTP
    

21. 迁移“计划任务”

22. 所有网站和软件的配置文件都要使用 WinMerge 进行对比
    

23. 移除“宝塔面板-安全”和“阿里云-ECS-安全组”中不用的端口

24. 再次检查阿里云设置

25. 在备份工具中添加该服务器的所有备份项

26. 私网中若有 ECS 的 hosts 中域名直接绑定到私网 IP 的，做相应更改

更多文章：

从零搭建一台阿里云 ECS（Windows Server）并迁移网站

[DS218+] DS218plus 上每秒接收的日志数超出 10 的容差值

DS218plus 每秒接收 55 个日志，这超出了每秒 10 个日志的容差值。请前往日志中心查看详细信息。
来自 DS218plus

打开群晖日志中心，左侧切换到“日志”选项卡，列表上方有“常规”、“连接”、“文件传输”、“硬盘”四个日志分类。

我的情况是“文件传输”中有大量日志，是因为我的小米摄像头设置的是把录制的视频保存到NAS中，而且是始终录制，而不是录制移动画面。这样就会产生多个视频文件，当自动清理一年前的视频时会出现同一秒处理了超过指定数量的文件，群晖就会发送这个通知。

解决的方法很简单：

方法一：米家 - 摄像头 - ...（右上角的设置） - 存储设置 - 存储卡状态 - 录制模式 改为录制移动画面。

方法二：群晖 - 日志中心 - 通知 - 修改“每秒日志数超出”。

本文基于 manifest v3

插件使用 Web 技术开发

浏览器提供额外的插件 API

插件与网页分离，运行在一个独立的环境中

插件 API 功能

• 管理 Tabs、窗口、历史记录、书签、Cookies、下载、浏览数据、通知、网站权限

• 管理浏览器的外观和感觉 - 背景、主题、右键菜单、新标签页、启动页面

• 定制 DevTools

• 向网页注入脚本，与网页通信，与系统中的 Native 应用程序通信

• 修改/监听发送的 HTTP 请求/接收的回复

插件构成

* 即便 content script 是注入到网页中的，而且是运行在 Renderer 进程（与主网页相同的进程），但是它们仍运行在不同的世界（world）。主网页运行在 main world，插件的 content script 运行在 isolated world。比如说 main world 中有一个变量，它在 isolated world 中是访问不到的，但是如果修改了 dom，对其它世界是有影响的。

将 Chrome 插件迁移到 Edge

• 移除 Chrome 独有的 API（如调用 Google 账户）

• 移动 update_URL 字段（如果是从 Chrome 商店直接下载的包会有这个字段）

• 改名 Chrome 相关的文字（插件名称、描述文字）
  

参考文献

1. Microsoft Edge 扩展入门（官方）

2. 一小时精通Edge扩展开发Microsoft Edge 文档（视频）