Hacked by ring04h, just for fun! Discuz惊现漏洞 论坛大面积被黑

中午睡午觉的时候，朋友突然打电话说论坛被黑了，进入板块的时候变成“Hacked by ring04h, just for fun!”朋友有人跟他说是模板的header里面，但是进入到FTP里发现header模板的时间没有修改，下下来一看根本就不应该是模板里的问题。考虑到“Hacked by ring04h, just for fun!”代码所在位置，看看是不是管理员密码丢失造成的，进入后再在“基本设置里面”的“搜索引擎优化”出现了

<script>function init(){document write("Hacked by ring04h, just for fun!");}window.onload=init;<script>

删除后就解决了。

删除后找出现问题的原因，一搜索简直吓一跳，Discuz居然满是求职的帖子，N多人居然都出现这样的问题，显然密码丢失问题不存在，从5.5到 7.1都出现这个问题，也就只能说明是漏洞，官方给出的解决方案还真是够可笑的让别人上传一个文件结果只是清除seohead，明明就能够从后台直接去掉，然后更新一下缓存就可以了，居然还要上传文件。或许他们一时没有找到漏洞所在吧，有人给出解决方案总是好的，只是期待他们以后能够更加的关注安全方面。