Question

dedecms 5.7 sp1被上传木马了，他们是通过什么途径上传的？

是这样的，老是被上传dede_ee.php，dede_uu.php之类的问题，会员系统，后台上传功能都取消了，ftp密码也改了，但还是被上传。到底他们是通过哪里上传的？如何处理？

Answer 1

前段时间爆出过5.7的注入上传漏洞，可以通过会员页面，用自己本地专门写的一段上传代码，然后可以上传网页木马，也可以通过注入获取管理员账号密码。是不是你今年都没下载过补丁啊？你上传功能取消了，也许问题不在那，也许之前你网站沦陷的时候，坏蛋就已经在网站目录某个隐蔽的地方留有了一句话后门。你可以去搜索下以前的一篇文章《网马亦网马》，实在不行你就备份下数据库，重新安装一下。当然你要搜索下数据库里有没有网马余孽。至于你说的什么ee还是uu，那完全是坏蛋们自己取的名字，以dede做前缀，不易引起站长们的注意罢了。

追问

现在已经升级到最新版的版本了。可能是前期开通了会员功能的时候被上传了木马代码，后面我发现有木马后才关闭了会员功能的。现在是过几天就有上传新的木马代码上去，还好我的空间有自动会将疑似木马文件自动修改文件名。dedecms文件过多，实在不知道有上传木马功能的那个文件在哪里。

追答

给我邮箱，我发给你一个他们用的网页木马，也就是webshell，他们就是用的webshell网马控制你的网站的，里面功能很多，有一个扫描木马的，对于他们坏蛋来说是想要自己独享你的网站，不想让别人来控制你的网站，所以可以扫描出别的网页木马，但是对于咱站长来说就可以用来扫描他们所有人的木马了，那个主要就是通过一些可疑函数来查找木马的，你可以用它扫描下，并判断下是否是木马，因为有些时候也可能会误会。

Answer 2

上传的功能被强制取消，然后网址注册端被劫持（不完全是劫持，有点类似），然后将木马隐蔽起来，伺机而动。

Answer 3

重新删了上传

Answer 4

有可能是申请友链上传的ico图片木马，搜一下是否有可疑ico文件.