修改须谨慎,修改之后你将不会得到官方的任何更新信息!
今天先去红狼看了看我昨天问的问题,目前没人能回答.收到管理员的消息,应该是群发的,SABLOG又出漏洞了.去官方一看,还是那个编码的,跟DZ类似的漏洞.最近漏洞好多啊.
登录BLOG后台,果然弹出提示框了.我倒不怎么关心提示框,SABLOG怎么知道我的版本有漏洞呢,程序肯定有后门.每次登陆后台自动检测官方版本跟当前版本对比.嗯.后来找到了.在templates/admin/main.php最后的一部分.删掉如下代码就OK了.
其实这个不足以导致被黑的,现在一般有点常识的,密码都比较复杂,几个数字+几个字母,MD5的话一般很难跑出来.当然有彩虹表的话,另说...
<script type="text/javascript">
i=1; var autourl=new Array(); autourl[1] = 'www.sablog.net'; autourl[2] = 'cnc.sablog.net'; function auto(url){ if(i){ i=0; var oHead = document.getElementsByTagName('head').item(0); var oScript= document.createElement("script"); oScript.type = "text/javascript"; oScript.src = "http://"+url+"/update.php?version=$now_version&release=$now_release&hostname=$now_hostname"; oHead.appendChild(oScript); } } function run(){ for(var i=1;i<autourl.length;i++) { document.write("<img src=http://"+autourl[i]+" width=1 height=1 onerror=auto('"+autourl[i]+"')>"); } } run(); </script>
目前流行的程序里,不止SABLOG一个,Discuz,DEDECMS都是有这样的后门的.这样的后门官方的真正用意很难说.为了让用户及时得到最新的补丁,最新的版本是一方面,其他的,随便人家怎么发挥了...但是这个东西有好的一面,也有坏的一面,一旦官方被黑,后果可想而知,所有的用户就被"批量挂马"了.现在干脆都给发出来吧.先来个DEDECMS的,标示出来的删掉就行:/include/inc_functions.php
PHP代码
function GetNewInfo(){ if(!isset($GLOBALS['__funAdmin'])) require_once(dirname(__FILE__)."/inc/inc_fun_funAdmin.php"); return SpGetNewInfo(); }
/include/inc/inc_fun_funAdmin.php
PHP代码
function SpGetNewInfo(){ global $cfg_version; $nurl = $_SERVER["HTTP_HOST"]; if( eregi("[a-z\-]{1,}\.[a-z]{2,}",$nurl) ){ $nurl = urlencode($nurl); } else{ $nurl = "test"; } $gs = "<iframe name='stafrm' src='http://www.dedecms.com/newinfo.php?version=".urlencode($cfg_version)."&formurl=$nurl' frameborder='0' id='stafrm' width='100%' height='50'></iframe>"; return $gs; }
dede/index_body.php(其中dede为后台目录)
PHP代码
<div class="bodytitle"> <div class="bodytitleleft"></div> <div class="bodytitletxt">DedeCms最新消息</div> </div> <table width="96%" border="0" align="center" cellpadding="0" cellspacing="0"> <tr><form name="uploadspider" action="upload_spider.php" method="post"> <td height="80" class="main_dnews"> <?php echo GetNewInfo()?> </td> </form> </tr> </table>
再把DZ的"后门"发出来吧.admin\global.func.php里面查找"function cpfooter",替换成如下的function:本站:临沂电脑网 欢迎同类站点友情连接 JavaScript代码