说说 Discuz! 网站安全 #2

本文由 Coxxs 原创，转载请注明原文链接：https://dev.moe/604

上一篇文章中，我们提到了六个加强网站安全性的通用措施。在本文中，我们会针对性的对 Discuz! X 的一些遗留安全问题进行修复。在阅读本文前，我们假设你已经升级到了最新版的 Discuz! X（撰写本文时最新版本为 Discuz! X3.4 20180101）。

本文提及的所有的修复所对应的漏洞此前都已在互联网上公开。

请依次完成以下安全修复步骤：

1. 重置站点安全密钥

如果在你安装 Discuz! 时，使用的版本为 Discuz! X3.4 20180101 或以上的版本，可跳过本步骤。

早期 Discuz! 安装程序产生的安全密钥不够安全，可被破解，需要重新生成安全密钥。

打开 config/config_global.php，找到：

$_config['security']['authkey'] = 'xxxxxx';

xxxxxx 是指你的旧密钥。请将旧密钥改为新的密钥。新密钥没有特殊格式要求，建议生成一个 32 位以上的英文、数字组成的随机字符串。此密钥请注意保密。

再找到：

$_config['cookie']['cookiepre'] = 'xxxx_';

将其中的 xxxx 改为新的字符串。字符串没有特殊格式要求，输入一个新的 4-5 位左右的英文、数字组成的随机字符串即可（如 ab12）。

完成以上两处修改后，需要进入后台重新设置一下远程附件 FTP 密码及支付宝密钥（如果此前有的话），同时论坛中所有会员将自动登出。新填入的密钥可有效避免被破解。

2. 加强 UCenter 初始密码安全性

安装 Discuz! X 时，会同时安装 UCenter 系统（下称 UC），默认在 /uc_server/ 目录下。黑客获取 UC 权限等同于获取整站权限，且 UC 的初始密码是站长在安装 Discuz! 时设置的密码，如果没有通过以下步骤专门修改过，即使在 Discuz! 中修改过管理员密码，UC 密码也是不会变动的。

如果安装网站时使用了易于破解的弱密码，请登录 UC 后台（默认在 example.com/uc_server/ 下），在下图位置设置一个新密码。

3. 修复 UCenter 密码爆破漏洞

UCenter 还存在一处爆破密码的漏洞，已被大量攻击者利用，官方尚未修复该问题。请打开 /uc_server/control/app.php，找到：

function onadd() {

在该行下面添加：

exit;

后续如果要将新网站接入 UC，可暂时撤销该改动。

4. 防止 IP 伪造

Discuz! X 的默认设置允许攻击者任意伪造 IP，进而绕过次数限制爆破会员密码。

打开 source/class/discuz/discuz_application.php，找到：

$ip = $_SERVER['REMOTE_ADDR'];

在下面添加一行

return $ip == '::1' ? '127.0.0.1' : $ip;

即可防止伪造 IP。

如果网站使用了 CDN，进行本修改后，获取到的 IP 将为 CDN 的 IP。这种情况下，nginx 用户可以使用 ngx_http_realip_module，指定 CDN 白名单，由 nginx 对访客 IP 进行还原。

---

完成以上步骤后，可以避免目前一部分常见的、针对 Discuz! X 的批量扫描。

安全永远是动态的，在撰文时，还有几个 0day 尚未修复、公开。建议站长参考上一篇文章中所提到的方案，降低风险。同时在 Discuz! X 发布新版本时，及时完成更新。

Coxxs