dedecms被黑怎么辦
如果您的網站被入侵,并被上傳了后門文件,一般可能不只1個后門,可能有很多后門文件,并且會偽裝成正常文件,想要清除,一般可以通過查殺后門的方法清除原程序中的病毒文件,此方法耗費時間較長,并難免有遺漏。
本文介紹的方法思路為:僅保留絕對安全的內容,用全新安全的程序文件覆蓋線上程序,可以最大程度防止后門殘留,讓網站全新如初。此思路可通用大多數程序,如dz等。
一、備份被入侵的站目錄中的文件,備份數據庫(以保留證據、數據)
先備份再操作,超級重要!!!
通過壓縮打包的方式備份程序文件,再通過phpmyadmin備份數據庫存為sql文件,備份數據以防誤操作后丟失數據。
再次提示,↑↑↑ 此步操作,超級重要!
——以下是dedecms被入侵后的快速恢復步驟——
二、下載全新的織夢程序,并解壓在本地,做初步安全處理
到織夢官方下載全新的程序包:http://www.DEDECMS.com/products/dedecms/downloads/ ,請注意對應的編碼版本,推薦使用UTF-8版本,兼容性更強。
1、刪除以下文件夾:/member 、/special、/install,/templets/default (如果你需要會員功能,可以保留 /member 目錄)。
2、/plus 文件夾只保留以下內容: /plus/img 、/plus/count.php、 /plus/diy.php、 /plus/list.php、/plus/search.php、/plus/view.php,除此之外的全部刪除。
3、把 /dede 文件夾改名,這是后臺登錄地址,改為只有你知道的名字。
三、恢復數據庫連接文件、恢復模板和上傳的圖片文件
從你的備份包中找到以下文件,合并到上一步的文件夾中,注意位置和名稱要一一對應的覆蓋。
1、復制 /data/common.inc.php 到程序包中覆蓋。這是數據庫連接信息
2、復制 /data/config.cache.inc.php 到程序包中覆蓋。這是站點配置緩存,檢查一下這個文件中的內容文字是否被修改過
以下目錄需要先做安全處理:查找目錄中是否存在php,asp等文件,如果有就刪除掉。也可以使用安全掃描軟件,如D盾、安全狗等掃描一下是否存在后門文件。
3、復制 模板及相關css、JS文件: /templets/模板文件夾、/style 、/css、/layout、/Static? 等等,根據你的模板實際情況
4、復制 /uploads 到程序包中覆蓋。這是上傳的圖片、附件等。
以下可能是非必須的:
5、復制 /include/extend.func.php 到程序包中覆蓋 。這是自定義的函數,如果沒有二次開發,這個文件可以跳過
6、其他你曾經二次開發、修改過的文件
四、覆蓋原站
1、清空線上站的所有文件(建議先停止網站再清空)
2、用FTP將這個合并后的程序文件包上傳到你的主機空間,這個步驟你應該都會了
上傳完畢,你的站就恢復完成了。
此方法要點:
1、利用全新程序替換被入侵的程序
2、新程序連接上原數據庫。
3、恢復后,請登錄后臺,檢查有沒有陌生的管理員賬號,同時修改自己的管理員賬號密碼。
五、織夢的安全防范
1、織夢的漏洞大多來自它的插件部分(plus),通過禁止plus等目錄的寫入,可以杜絕大部分入侵。具體方法可以參見本站另外一篇文章《織夢cms安全設置指南》https://www.think3.cc/?id=5
2、waf防火墻:一般被入侵,都是通過掃描上述有安全隱患的位置,達到上傳后門的目的。大多waf可以阻擋這類掃描,如nginx/apache的請求過濾、安全狗iis版等。
3、程序目錄權限:大多入侵都是需要先向你服務器寫入新的木馬文件、并訪問執行這個文件,從而達到修改整站的目的。嚴格設置目錄寫入權限,嚴格設置目錄的可執行權限,也可以有效防御大多數入侵。
如:在nginx中,可通過偽靜態規則限制上傳目錄執行程序
PHP location?~*?^/(a|data|templets|uploads|style|css|js|static|layout|assets|cache)/.*.(php|php5|asp|jsp|aspx|py)$?{ deny?all; }
更多dedecms技術文章,請訪問dedecms使用教程欄目!
