DiscuzX 3.4 登录接口爆破密码问题

最近主机壳一个用户论坛经常出现账号被盗问题，升级到最新版之后问题似乎没有解决。在翻看访问日志的时候看到了一串奇怪的请求有点吓人。

GET /member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes&inajax=1&handlekey=ls&quickforward=yes&password=1234qwer&username=admin

明文密码？？？？？？记得 Discuz 很久以前就加密通讯密码了啊！手工访问这个链接发现还真特喵的好使，继续找 BranchZero （DZ 签到插件的开发者）协助排查问题。

经过查阅源代码才知道 DiscuzX 3.4 这个接口流程依然是提交明文用户名密码后换取一串 auth，再通过 auth 提交进行登录操作。有可能是提供给外部登录或者其他用途。

确认这个论坛站内登录不使用此接口，直接一行代码 if($_GET['username']&&$_GET['password'])die(); 堵死请求，问题解决。