咨询电话:
15628812133
28
2016/12

小记:网站被黑后的(DEDECMS系统)恢复

发布时间:2016-12-28 20:19:40
发布者:xueye
浏览量:
0

现在DEDECMS系统越来越普遍,操作简单、模版制作也简单,新手很容易上手,刚开始做网站的朋友大部分都会选择DEDECMS这套建站程序,但由于对网络安全缺乏了解,导致很多使用DEDECMS系统的网站经常被黑客攻击,串改页面挂黑链、六合彩、色情等等!然后就很多人说DEDECMS不安全、漏洞多等等,其实不然,CMS程序都会存在漏洞,只是使用的人不一样,官方的补丁及时更新,就可以免除很大部分隐患,在上一篇文章中还说起过DEDECMS系统的安全设置工作,但是很多站长都不以为然,今天又有一站长网站中招了!

那么DEDECMS系统被黑之后应该怎样做好修复工作呢,下面我们就以这个站长的实例来做下演示,指导大家在DEDECMS被黑之后应该排查那些页面,怎样清除植入的木马(一般为PHP大马、小马或一句话木马)。

客户网址:http://www.drugapple.com/

QQ求助,网站被黑

此时,已被腾讯拦截,提示网站页面被串改,不建议访问等等!

被黑网站页面

页面提示电脑IP已经被记录,关闭网站就开始攻击,其实这东西就是唬人的,可以直接无视,看下面的字,显然小孩子黑了网站之后炫耀的!介绍下这站长的网站,是一个韩国女明星金泰妍的无盈利粉丝站,没有竞争对手恶意破坏的可能。

恢复记录

首先通过FTP检查了模版,发现模版并未出问题,只是被串改了首页而已,后台生成一下首页,网站就恢复了正常!DEDECMS系统有更新选项,点击以后发现很多补丁包没有打上,如下图!

检查<a href=http://www.cnwenhui.cn/html/141249203329.html target=_blank class=infotextkey>DEDECMS</a>系统补丁

点击获取所有更新文件,然后将补丁全部打上,下一步该查找木马了,现在较为常见的在系统中植入木马的方式常为广告管理和自定义宏标记,广告中ID多为8888,以90sec为代表的植入木马方式,另一种植入木马方式为自定义宏标记,检查广告和自定义宏标记中是否自己的广告和标记,如发现内容中包含

自定义宏标记中出现多条内容

自定义宏标记出现多条内容,且编号数字较大,正常途径新增自定义标记编号为1开始并递增!(广告亦是如此)

包含木马的自定义宏标记

此内容包含

使用360站长平台

现在DEDECMS系统内的木马已经清除,但是木马还存在于网站之中,为了更好的排查木马,我们可以借助360网站安全检测,平台内有一工具叫木马查杀,可以快速排查网站中存在的木马(当然如果动手能力比较强可以手工排查)。

下载对应的文件

DEDECMS系统是PHP版本,所以选择后门查杀PHP版本,然后上传至网站,点击下一步开始查杀!

360木马查杀结果

好家伙,查到了5个后门,看!有刚才提到的xavip.php,查到了那么就要删除,通过FTP将以上文件删除!(删除前请注意做好备份,有时候也会有误杀的情况)!好了到此截至,网站木马查杀工作完成!如果网站已经被安全网站提示拦截,那么我们就要进行申诉工作了!请参考实例:该网站已经被串改(安全平台拦截)的恢复过程


关键词:
返回列表