爱华网?? ? 最近在faq群里面收到许多dedecms用户的求助,说最近网站底部多出了一个Power by DedeCms的超链接版权信息,经过调查发现用户只是更新了一下6月7日的变量覆盖漏洞的补丁,其它的源代码并没有改动,在此之前也并没有出现这样的情况,看来是这次更新6月7日的补丁后才被加上去的。我们在了解问题缘由之后对更新补丁文件进行了研究。??dedecms模板?- 598080707.net?? ? ?查看了一下织梦官方的20130607常规安全补丁更新详细信息,补丁更新的文件是include/dedesql.class.php变量覆盖漏洞,将这个文件下载下来打开发现第588行至592行处有一段奇怪的经过加密的代码,代码如下:
$arrs1 = array(0x63,0x66,0x67,0x5f,0x70,0x6f,0x77,0x65,0x72,0x62,0x79);$arrs2 = array(0x20,0x3c,0x61,0x20,0x68,0x72,0x65,0x66,0x3d,0x68,0x74,0x74,0x70,0x3a,0x2f,0x2f,0x77,0x77,0x77,0x2e,0x64,0x65,0x64,0x65,0x63,0x6d,0x73,0x2e,0x63,0x6f,0x6d,0x20,0x74,0x61,0x72,0x67,0x65,0x74,0x3d,0x27,0x5f,0x62,0x6c,0x61,0x6e,0x6b,0x27,0x3e,0x50,0x6f,0x77,0x65,0x72,0x20,0x62,0x79,0x20,0x44,0x65,0x64,0x65,0x43,0x6d,0x73,0x3c,0x2f,0x61,0x3e);//特殊操作if(isset($GLOBALS['arrs1'])){??? $v1 = $v2 = '';??? for($i=0;isset($arrs1[$i]);$i++)??? {??????? $v1 .= chr($arrs1[$i]);??? }??? for($i=0;isset($arrs2[$i]);$i++)??? {??????? $v2 .= chr($arrs2[$i]);??? }??? $GLOBALS[$v1] .= $v2;} ? ?
??????找到这段代码后我们把这段代码删除,再更新文章页面,会发现页面底部多出的Power by DedeCms也被去除了,看来就是这段代码导致调用的cfg_powerby后面会自动添加版权链接。??dede教程?- 598080707.net?? ? ?织梦官方的这次小动作的意图我们还不明确,在将来有大的动作也不是没可能,对此我们的站长朋友们需要提高警惕,打补丁时也最好留个心眼,看看补丁文件的内容,和之前的对比一下,不然又要被织梦官方坑了。
