7号晚上登陆后台,令人意想不到的事发生了,居然密码错误,再试了几次还是一样的报错,这下抓狂了,马上检查,进入phpmyadmin,并且查看dedeadmin的表,分析用户名和密码,没错耶,那里问题?进入网站,多了一个cmd.exe,奇怪,而且多了admin.php和admin.asp,浏览一看,傻眼了,免杀木马,再看看config_hand.php被修改,里面的地址已经变了,变成远程调用的mysql,以及他人的用户名和密码.http://www.zzseo.net/Course/1610.html 跟这个人同样的遭遇,但是始终没查到哪里的漏洞,看来是dedecms的原因,哎,我们是可悲的人,赶紧删除木马,打补丁,再禁用一些php函数,希望黑客不要再来光顾我们了,我们都是小本生意.
通过木马上的QQ联系了本人,说不是他黑的,他只是提供程序的人,由于mysql开始是远程连接,还好默认密码都是admin,进去后看到网址地址是改成另外一个人的,又联系另外一个站长,他说他也没黑我,而且他的站也在7号同样被黑了,同时天涯沦落人,而且他被改的地方以及mysql连接地方和我一样.无语了.
最后再检查一下dede,发现setup文件夹还没删除,最后想了想原来是可以通过这个重新安装,安装的时候调用远程mysql,能进入后台就能上传木马,赶紧删除,但是这次被黑并不是这个setup未被删除造成的,应该是其他地方的漏洞,没法了,转ecms.至少不这么麻烦.