dedecms5.7最新木马的解决对策
网站被入侵的途径,这次所遇到就是DNS入侵。DNS入侵往往防不胜防,对此疯子也中招。网络端口全开,黑客一下子进入侵进来。如果你发现还好,否则不通过百度搜索引擎是查不出网站被入侵的。这年头,只有中招之后才知道网络安全的可贵,才开始重视网站防护。
网站被劫持之后,如何删除木马,如何解决被黑客挂马的问题?
首先一点修改主页模板,删除</head>后面的{dede:dsv/}或者{dede:dinfo/}这个调用标签。然后找到根目录/include/taglib/dsv.lib.php或者/include/taglib/dinfo.lib.php进行删除,然后就可以发现网站已经恢复了。
不要以为现在就万事大吉,让人恐怖的还在后头。通过dedecms后台管理:系统-》系统用户管理,你会发现,在系统管理用户中发现一个新的超级管理员。删除之后,系统还会提示不能删除超级管理员,必须要到数据库数据表中才能删除。那么如何删除超级管理员呢?通过《
dedecms如何将admin或者其他超级管理员修改为普通用户》一文所介绍的问题,我们可以通过SQL数据库语言,将admin改成被篡改的超级用户的名称,这样就可以实现绝对防护。具体路径:系统-》SQL命令行工具-》执行SQL语言。
第三步,查看自定义宏标记。路径:模板-》自定义宏标记。中了木马病毒的网站在这里会出现两个被黑客定义的宏标记,主要是对网站全局变量的控制。因此,我们必须删除,以免留下后门。
第四步,用系统自带的病毒扫描工具开始扫描网站,可以发现一系列带有可执行文件呈现出来,具体的可以参考:
可疑文件:/plus/service.php
可疑文件:/data/dedeadmin/plus_bshare.php
可疑文件:/data/dedeadmin/member_do.php
可疑文件:/data/dedeadmin/config.php
可疑文件:/data/dedeadmin/mychannel_main.php
可疑文件:/uploads/userup/data.php
可疑文件:/dedeadmins/plus_bshare.php
这些文件就是木马感染的文件,也就是漏洞文件。如果不及时处理,黑客依旧会再次光临。当然还有一些中毒比较深的网站,删除之后重复生成,这就是木马变种比较厉害。疯子也不好多做说明,只能说重新上传备份程序或许是个不错的选择。
针对于第三步,第四步一些处理办法:
1、删除增加的管理员:service、guanli
2、删除根目录的asdd.php
3、删除plus下的download.php,mytag_js.php90sec.php,service.php,vliw.php,vuew.php,digg.php,xiao.php,bakup.php等可疑文件。
4、织梦程序后台病毒扫描都会出现一个plus/90sec.php的文件,得每天删除,可是删除了,第二天就又出现了???可以能是getshell了,可以在后台->模板->自定义宏标记中删除其中的条目之后可以升级下include/dedesql.class.php文件即可.
5、chmod -R 555 xxxx.com/plus,给plus只读权限
6、删除data/cache/mytag-9013.htm 这种类型的所有htm文件,删除tplcache的缓存文件。
发现的越来越多了
7、数据库要清空dede_mytag表
下面我们来看看,如何有效防范dedecms网站被黑客入侵的途径:
1.要具备网络安全意识,定期对网站进行扫描。最好一天一次,当然站长每天的工作就设计到网站打开速度测试这一块,所以具备安全防范意识是我们每天必做的功课。
2.织梦后台程序安装之后,我们必须按照要求修改data以及意外的一些看似细微的东西。具体的在dedecms官网有提示,同时在后台也会以红字的形式提示,请不要忽略。
3.后台管理程序尽量升级到最新版本,以免漏洞被黑客利用。
4.选择一些好的vps服务器,这样是防范黑客攻击的最好办法。尤其是一些服务器自带黑客防范工具,非常给力。所以站长程序省掉的钱不妨投放到好的服务器当中去,这样才是长久之道。
5.删除织梦后台管理系统平时不用的插件、自己一些任务代码的sql注入等安全性,例如你的火车头采集、采集侠采集破解版的一些漏洞后门等。