昨晚临时关闭了MYSQL和PHP,问题得到缓解,至少服务器不会被停掉。但这样直接导致网站无法访问。
今天起来继续查找原因,出现这种问题一般都是DEDE被黑。通过搜索源代码,同时仔细查看一下常被利用的目录,在plus下发现s.php。呵呵,差点没认出来,我在so目录下也有一个s.php。一看创建日期,11月22日。/吓 也就说这站被入侵有差不多一周时间了。
说正文吧,其实这次被入侵的技术含量并不高,丫的利用DEDE的漏洞上传PHP后门,使用了仿照PHPCodeLock的加密方式(查看:http://www.cnblogs.com/Task/archive/2010/05/06/1728887.html)。网上也有很多诸如“微盾PHP脚本加密专家解密算法 ”的文章,稍微变通下应该可以破译出源文件。现在先不去管,看看到底是哪里出了问题。
通过搜索最近修改的文件,发现data目录被入侵。其中,mysql_error_trace.inc 文件起到暴露DEDE后台地址的作用。
网上找到的临时解决办法:
1、打开 /include/dedesql.class.php 搜 mysql_error_trace ,把 mysql_error_trace.inc 更名成 mysql_error_任意字符.inc
2、然后登录ftp,转到 /data/ 目录,把 mysql_error_trace.inc 更名成 mysql_error_任意字符.inc
同时,在data/cache/** 目录下生成了大量的PHP文件(近2w个文件),很巧,这丫的也用的51啦统计。地址:http://www.51.la/?4500210
看来是专门为自己黑的站做统计,真是的,我这么个一天几十IP的站也看得上?
参考文档:
分析DEDECMS 5.5 datalistcp.class.php 包含
http://www.bluenoob.com/hack/0day/dz7-1-and-7-2-0-for-remote-code-execution-vulnerability-webshell.html
