1. 登录 UCenter，添加应用

   

   选择 DiscuzX，并填写名称和密钥等信息

2. 正常的话，提交后会自动更新缓存文件 /uc_server/data/cache/apps.php，如果没有更新，检查添加这个文件的写入权限，并在后台更新缓存。

3. 在编辑应用界面底部可以看到“应用的 UCenter 配置信息”

   
   

4. 复制这段内容，粘贴到 /config/config_ucenter.php。

5. 在 Discuz! 控制面板 - 站长 - UCenter 设置 中可以看到这些配置信息。标签名为灰色的是从配置文件读取的，无法在此修改。

6. 返回 UCenter 中心的应用列表可以看到“通信成功”

   
   

今天早上同事反映论坛某管理账号无法登录，于是我尝试用创始人账号登录，也不行，第一反应就是中招了。

于是进阿里云控制台，发现云安全中心有许多安全警告，类型是网站后门，幸好 nginx 中设置了仅部分文件可执行 PHP，这些后门文件无法被执行。

尝试在 config_global_default.php 文件中添加创始人，但账号必须是副站长等管理账号才能成为创始人。

于是借用一个小号，从表 pre_ucenter_members 中将这个小号的 password 和 salt 复制到创始人账号中，这样创始人账号就可以用这个小号的密码登录了。

进入论坛后台，在 工具-运行记录-系统记录-后台访问 中查看入侵时间段的记录（操作、时间、IP 等），可搜索。

发现基本上在操作模板管理和专题管理。

对比时间，发现进入后台操作在先，上传后门在后。

查询 web 访问日志，通过访问文件路径或 IP 查询，在进入论坛后台之间，他进入了 UCenter 的后台，但是再往前就没有记录了。

因此基本可以确定：

黑客从 UCenter 修改了某管理员账号的密码（可能是利用漏洞），然后登录论坛后台修改了创始人的密码（可能也是用 UCenter 改的），通过模板管理和专题管理功能的上传功能上传了后门文件。

索性他没有对数据进行破坏性处理，也没有挂马，只是发现后门文件无法执行就放弃了。

本文图片基于网络图片更新，如有侵权，请通过网站底部联系站长删除。

本文内容来源于网络，如有错误欢迎批评指正。

USB 接口类型

USB 接口有 Mini、Micro、Type 三种外观。

• 通常说的 USB-C 一般指 USB Type-C，因为没有 Mini-C 和 Micro-C。而 USB-A / USB-B 一般也特指 Type-A / Type-B。

数据传输能力

USB 标准（附 Thunderbolt）

规格	别名	接口类型	理论带宽	电力规格	备注
USB 1.0	Low-Speed	Mini A / B Micro A / B 2.0 Type A / B 2.0	1.5 Mbps	5V/0.5A
USB 1.1	Full-Speed		12 Mbps	5V/0.5A
USB 2.0	Hi-Speed High Speed	Mini A / B Micro A / B 2.0 Type A 2.0 / B 2.0 / C	480 Mbps	5V/0.5A
USB 3.0 USB 3.1 Gen 1 USB 3.2 Gen 1	SuperSpeed	Micro B 3.0 Type A 3.x / B 3.x / C	5 Gbps	5V/0.9A PD2.0 100W
USB 3.1 USB 3.1 Gen 2 USB 3.2 Gen 2	SuperSpeed+	Micro B 3.0 Type A 3.x / B 3.x / C	10 Gbps	5V/0.9A PD2.0 100W
USB 3.2 USB 3.2 Gen 2×2	SuperSpeed 20Gbps	Type-C	20 Gbps	PD2.0 100W
USB4 Gen 2×2	USB4 20Gbps	Type-C	20 Gbps	PD3.0 100W PD3.1 240W	兼容 Thunderbolt 3
USB4 Gen 3×2	USB4 40Gbps	Type-C	40 Gbps
USB4 2.0	USB4 80Gbps	Type-C	80 Gbps
Thunderbolt 1	雷雳1、雷电1	Mini DisplayPort	10 Gbps
Thunderbolt 2	雷雳2、雷电2	Mini DisplayPort	20 Gbps
Thunderbolt 3	雷雳3、雷电3	Type-C	40 Gbps	配件供电 15W PD 100W	兼容 USB4
Thunderbolt 4	雷雳4、雷电4	Type-C	40 Gbps	配件供电 15W PD 100W	兼容 Thunderbolt 3
Thunderbolt 5	雷雳5、雷电5	Type-C	80Gpb （带宽增强 120Gpbs）	240W	USB4 V2、DisplayPort 2.1 和 PCI Express Gen 4

数据参考

• Thunderbolt / 雷雳 / 雷电 是同一个意思，而闪电接口指的是 Lightning，都是区别于 USB 的传输技术
  

• Thunderbolt 本身是数据传输和显示协议，Thunderbolt 3 起采用 USB-C 外观，支持 PD 协议后可进行快速充电

• USB4 在基础协议上不再采用 USB 规范，转而采用英特尔已经公布的雷电3 规范，可与雷电3 完全兼容

• USB4 仅提供 Type-C 接口

• 识别不同标准的接口，比如若 Type-C 接口旁边写着 ss 和 5 表示 SuperSpeed 和 5Gbps，即 USB 3.0；插口旁边带有⚡️标志表示雷电接口。

电力传输能力

常见快充协议

协议	版本	发布年份	区别	接口形态
BC （Battery Charging Specification）	1.2	2010 年	7.5W（5V/1.5A）
高通 QC （Qualcomm Quick Charge）	1.0	2013 年	10W（5V/2A）	Micro-USB
	2.0	2014 年	Class A：5V、9V、12V 电压可选，最大输出功率为 18W？ Class B：5V、9V、12V、20V  电压可选，最大输出功率为 60W	Micro-USB / Type-A
	3.0	2015 年	Class A：3.6-12V，Class B：3.6-20V，支持动态调整电压和电流，最大输出功率为 18W？	Micro-USB / Type-A / Type-C
	4.0	2017 年	5V/5.6A 或 9V/3A，最大输出功率为 28W？，兼容了 USB PD 2.0 / PD 3.0 PPS？	Type-C
	4+	2019 年	最大输出功率为 100W？，支持 PPS 协议？兼容 QC2.0~QC3.0	Type-C
	5.0	2020 年	最大输出功率 > 100W，兼容 QC2.0~QC4+	Type-C
USB-PD （USB Power Delivery）	1.0	2012 年	5V、12V、20V 电压可选，最大输出功率为 10W	Micro-USB / Type-A / Type-B
	2.0	2014 年	5V3A、9V3A、15V3A、20V3A、20V5A（E-Marked），最大输出功率为 100W	Type-C
	3.0	2015 年	5V3A、9V3A、15V3A、20V3A、20V5A（E-Marked），最大输出功率为 100W	Type-C
	3.0 PPS	2017 年	支持 PPS 协议，3.3V-21V 3A-5A	Type-C
	3.1	2021 年	SPR 最高支持 20V 电压，最大输出功率为 100W EPR 最高支持 48V 电压，最大输出功率为 240W	Type-C

• 华为 SuperCharge（FCP / SCP）、小米 Mi Turbo Charge、OPPO VOOC、vivo FlashCharge、三星 AFC 等私有协议不在此列出。

• Magsafe 电源适配器 是磁吸式有线充电接口，最大输出功率为 85W（截止2023年），用于 Macbook；

• Magsafe 充电器 是磁吸式无线充电接口，最大输出功率为 15W（截止2023年），用于 iPhone，不属于快充。

• Qi 是无线充电协议，Qi1 最大输出功率为 7.5W，Qi2 最大输出功率为 15W。

• 功率决定充电速度，功率与电压电流的关系：P=U*I，如 5V1A=5W

• 一条 USB 线由插座/母口（Receptacle）、插头/公口（Plug）和线缆（Cable）三部分组成，要实现某个协议，需要插座和插头都支持该协议。

• PPS：Programmable Power Supply 可编程电源

• SPR：Standard Power Range 标准功率范围

• EPR：Extended Power Range 扩展功率范围

• FCP：Fast Charge Protocol 华为早期快充协议，支持 18W

• SCP：Super Charge Protocol 华为超级快充协议，支持 22.5W、40W
  

文件已正常部署且能正常访问到，但点击“文件已部署，立即认证”按钮时，然后被提示：访问文本资源失败，请调整后重试。原因是微信验证请求是 http 协议，如果网站强制启用 https 则无法完成验证。

在 ASP.NET 6 中可打开 Program.cs 文件，临时注释掉下行即可：

app.UseHttpsRedirection();

本文不定时更新！

A： MySQL 执行 SHOW FULL PROCESSLIST 

Q： 查看连接数和慢查询，适用于 MySQL 数据库无法连接 1040

A： iftop -i eth0

Q： 查看占用带宽的IP（命令：iftop -i eth0 -F ip/24），添加到安全组、防火墙、宝塔的黑名单中。

命令 grep -l "x.x.x.x" /www/wwwlogs/*.log 可以在 wwwlogs 目录下的所有 .log 文件中查找指定的恶意 IP。

A： goaccess -f xxx.log

Q： 实时分析网站日志，查看请求最多的IP

A： net.xoyozo.weblog 日志分析工具

Q： 自制的 Web 日志分析工具，可按多种方式排序，纠出可疑访问

A： 重启 web 服务器

Q： 有时候能解决 CPU 和内存消耗的问题，如果一会儿又升高，则需要找另外的原因

Q： 500 服务器内部错误

502 Bad Gateway

504 Gateway Time-out

A： 查看 php 日志，可能的路径：

/usr/local/php/var/log/php-fpm.log

/www/server/php/[版本]/var/log/php-fpm.log

Q： RDS MySQL IOPS 使用率高的原因和处理

A： 根据时间点查看慢查询

Q： Discuz! 论坛界面错乱、表情不显示、模块缺失、登录失败、发帖失败等等

A： 进入管理中心 - 工具 - 更新缓存，能解决大部分问题

Q： Discuz! 浏览帖子提示“没有找到帖子”

A： 进入数据库，修复表 pre_forum_post 或分表

Q： CPU 100% 或内存 100%，负载100+

A： 原因有很多，以下是一些建议：

Windows 在任务管理器中查看进程

当前是否有正常的大流量访问（譬如民生类论坛的某个帖子突然火了）特别是重启无效的情况

对比网站日志大小可大致确定哪个网站被大量恶意请求。

观察：命令 top

排查：通过关闭网站来确定是某网站的问题，通过关闭功能确定是某功能的问题，如果 nginx 崩溃请参下条

案例：通过修改 mobcent 文件夹名确定是安米的文件被疯狂请求导致的，更新插件和 mobcent 包解决问题。

如果都是正常访问，top 看到很多 php-fpm，而且个个占用 CPU 还不小，那么根据服务器硬件配置来修改 php 的并发量，如宝塔面板在 php 设置 - 性能调整 页，300 并发方案的推荐配置是：

max_children：300
start_servers：30
min_spare_servers：30
max_spare_servers：180

另外，memcached 或 redis 的配置也可以进行相应的修改。

另一个案例是 kswapd0 进程占满 CPU，原因是内存不足导致 swap 分区与内存频繁交换数据。同样调整 php 的设置即可。

也可以通过 iftop 来查询占用带宽较多的 IP 并封禁（出方向），如果 CPU 能降下来，那这个 IP 就是罪魁祸首。

Q： 阿里云 ECS 的 CPU 突然达到 100%，并持续到次日 0:00 左右

A： 可能 ECS 是 t5 规格，受 CPU 积分制度限制，积分耗尽时 CPU 不工作。解决方法是更换其它规格产品或升配。

Q： ASP.NET 所在服务器 CPU 突然达到 50% 或 100%，并持续

A： 首先确定哪个网站，再依次排查网站各功能。可能是 HttpWebRequest 请求远程数据时长时间未返回结果导致的程序阻塞。

Q： nginx 服务停止

A： 查看 nginx 日志

WDCP 路径：/www/wdlinux/nginx-1.0.15/logs/error.log

Q： 公网出带宽 100%，其它指标正常

A： Windows 在任务管理器-性能-资源监视器-网络 查看占用带宽的进程PID，然后在任务管理器-详细信息中的找到对应的用户（如果为每个网站分别创建了用户，就能知道是哪个网站占用了带宽）；如果是被 PID 为 4 的 System 占用大部分带宽，也可以尝试重启 IIS 来解决。

CentOS 使用 nethogs 查看占用带宽的进程PID和USER，如果为每个网站分别创建了用户，就能知道是哪个网站占用了带宽，否则只能一个个关闭网站来判断，不知道大家有没有好的方法？当然还可以直接用 iftop 命令查看占用带宽的 IP。另外，查看每个网站在那个时间段的日志文件的大小也能大概看出是哪个网站被采集了。

A： Linux 显示每个用户会话的登入和登出信息

utmpdump /var/log/wtmp

参考：http://www.tulaoshi.com/n/20160331/2050641.html

Q： RDS 的 CPU 100%

A： 如果是突然持续占满（同时伴随 ECS 资源使用率下降，页面出现 502），很大可能是受攻击（或社交网站推送突发事件等），查看“慢查询”，添加相关索引；如果是 Discuz! 论坛，可尝试修复优化表 pre_common_session。

如果是数日缓步上升，或新项目上线，考虑 SQL 慢查询，思路：MySQL / SQL Server。

MySQL：SHOW FULL PROCESSLIST

SQL Server：sp_who

Q： php 网站的服务器，内存在数天内缓慢上升

A： 大概是 php-fpm 占用过多，或进程数太多

更改 php 的配置（如 max_spare_servers），执行：service php-fpm reload

Q： 进程 cloudfs 占用内存过多

A： 参：https://xoyozo.net/Blog/Details/cloudfs-cache

Q： RDS 磁盘占用过大

A： 参：https://xoyozo.net/Blog/Details/how-to-use-rds

Q： ECS 受到 DDoS 攻击怎么办？

A： 参：https://xoyozo.net/Blog/Details/aliyun-ddos-without-bgp

Q： 如果 ECS 和 RDS 各项指标都没有异常，但网页打开慢或打不开502，TTFB 时间很长，是什么原因？（ECS 的 CPU 100%，RDS 的连接数上升，也可参考此条）

A： 数据库有坏表，尝试优化/修复表（慢 SQL 日志中锁等待时间较长的表？），或主备切换。show full processlist 时看到许多

DELETE FROM pre_common_session WHERE  sid='******'  OR lastactivity<******  OR (uid='0' AND ip1='*' AND ip2='*' AND ip3='*' AND ip4='*' AND lastactivity>******)

Q： Discuz! 创始人(站长)密码被改

A： 数据库找到 pre_ucenter_members 表，复制其它的已知登录密码的账号，复制其 password 和 salt 两个字段的值到创始人账号中，创始人账号即可用该密码登录了。

各位站长好：

 

根据苹果相关通知，从2017年1月1日起，所有上架AppStore的应用必须支持https协议。

仍然采用HTTP传输的站点APP，将无法在AppStore被用户下载使用，也无法进行升级更新等工作。

 

官方视频

https://developer.apple.com/videos/play/wwdc2016/706/

 

相关新闻

http://www.chinaz.com/news/2016/1028/602635.shtml

 

根据AppStore审核要求，站长需要在2017年1月1日之前，在APP服务器全面部署https。

尽管不升级支持https后果严重，但诸位也不必太过担心，马甲根据要求为各位提供一份服务器升级https的技术文档，供您参考。

 

https的优点：

1. 相对于http，https可以确保数据在网络传输过程中不被篡改(如禁止运营商插入广告)，同时可以提升网站的安全性。

2.  iOS可以实现微信内部浏览器直接启动并打开App对应页面。

 

APP网站升级https步骤：

1. 为APP域名申请购买SSL证书（可选免费型）；

2.  将SSL证书部署到APP站点。

 

https证书申请方法：

1. 进入阿里云（独立服务器客户可注册一个阿里云账号，无须购买阿里云主机）https证书申请页面 https://www.aliyun.com/product/security/markets/aliyun/product/cas

 

2. 购买https证书，选择免费类型，点击购买（无需实际付款)

 

3. 购买完成后，进入控制台-CA证书服务页面，找到证书订单，点击“补全”

 

4. 填写证书对应的域名信息，免费证书只能用于一个域名(请填写完整域名例如：test.magapp.cc 而不是 magapp.cc)

 

5. 继续补全证书信息，注意域名验证类型选择DNS，邮箱填写自己常用邮箱即可，稍后系统会往邮箱发送域名解析信息。

 

6. 下一步生成证书请求文件(CSR)，这里建议选择“系统生成CSR”，点击右侧创建，创建完成后，点击提交审核，开始申请https证书。

 

7. 稍后系统会向邮箱发送一份该邮件，邮件包含需要在域名管理后台解析的信息。

 

8. 到域名管理后台添加新的域名解析，注意解析类型为CNAME

 

9. 添加新域名解析完成后，系统会对您的申请进行审核（审核时间在几分钟到几个小时不确定），如果审核成功系统会为你签发https证书，失败也会有相关原因说明，如果失败可根据提示重新申请。

 

10. https证书申请成功后，下一步就可以下载并部署到APP服务器。

 

11. 点击下载后，可以根据阿里云提供的部署文档，进行相关的服务器部署工作。

 

12. 部署完成后，验证是否部署成功

第一步：使用https协议访问域名是否能正常访问，例如 https://test.magapp.cc

第二步：在线检测域名是否满足苹果审核要求，网址为：https://www.qcloud.com/product/ssl.html#userDefined10

 

填写自己申请https的域名

 

如果域名检测各项满足会显示如下图所示

 

部署注意事项：

1. https使用的是443端口而不是默认的80端口，需要在wdcp安全管理-iptables开启443端口。

2. https免费证书有效期为一年，请各位站长作好记录，提前重新申请。

3. 站点从http转到https完全过渡需要一段时间，建议在部署时站点同时支持http和https。

4. 部署过程遇到任何问题，可联系您的专属运维人员。

 

                                                            MAGAPP技术部

知其然，才能使其安——王震

 

常见的攻击手法

SQL 注入

文件上传

弱口令

Nday 攻击

XSS

社会工程学

等等……

 

被黑原因总结

不知道	不及时	不在意
不知道自用系统安全动态	不及时更新系统安全补丁	不在意个人信息安全
不知道常见黑客攻击手段	不及时修复漏洞	不在意用户数据安全
不知道该如何修复	不及时排查被黑系统	不在意各种安全软件提示、提醒
不知道今后该如何防御		不在意细节

 

那些年，醉人的“三字经”

网站渗透娱乐版	针对企业的实战版
进谷歌 找注入 没注入 就旁注 没旁注 用0day 没0day 猜目录 没目录 就嗅探 爆账户 找后台 传小马 放大马 拿权限 挂页面 放暗链 清数据	搞企业 先扫描 默认密 都知道 社工库 找一找 邮箱号 先列好 九头蛇 跑一跑 搞不定 放大招 发邮件 凭伪造 没邮箱 搞网站 二级域 皆可爆 老漏洞 没修好 新漏洞 刷一票 干研发 Git 找 原代码 全都要 CDN 可以跳 防火墙 可以撬 堡垒机 可以绕 云防护 可以秒 是企业 没有哪家搞不了

 

攻击手法统计

Nday攻击：45%

漏洞攻击：35%

其他攻击：15%

0day攻击：5%

 

一些箴言

80%的安全问题都是已知的安全问题，但是能抵御已知安全问题的网站只有20%

弱口令虽然看起来很弱，但是忽视弱口令只会让你的网站变得更弱

没有百分之百的安全，你所做的一切不是为了让自己无坚不摧，只是让自己不再弱不禁风

80%的系统安全问题都是可以通过升级补丁来解决，但是能做到这点的人只有20%

SQL注入存在十几年了，依然是主流攻击手段，可见安全比的不是谁更先进，而是谁更细心

不要得罪你的开发人员，这就跟你吃饭不要得罪服务员一样，你不知道他下一秒会不会在你的菜里吐口水

 

还有一句

永远不要觉得你安装的安全防护软件真的可以保护你的安全

 

服务器安全注意事项

不安装不必要的软件

排查所有系统弱口令

关闭不常用的端口

控制目录权限

不在服务器上下载、打开非官方提供软件

不在服务器上打开他人发来的网页链接

 

如何排查暗链？

利用查看网站的源代码来检查黑链

使用站长工具“网站死链检测”功能来检查黑链

用 FTP 查看网站文件的修改时间来检查黑链

接入 webscan.360.cn 检测

 

后门排查

Windows 下，D 盾、安全狗、主机卫士

Linux 下，Seay 一句话扫描脚本、主机卫士 Linux 版

用 FTP 查看网站文件的修改时间来排查恶意后门

接入 webscan.360.cn 等在线检测

 

安全类书籍推荐

《Web 安全深度剖析》——张炳帅 著

《白帽子讲 Web 安全》——吴瀚清 著

《Web 前端黑客技术揭秘》——钟晨呜（余弦）著

《黑客攻防技术宝典 Web 实战篇》——国外某黑客 著

 

联系方式

官网：www.flsec.com