记录一次织梦网站被挂黑链解决方法完整版

优质老薛主机推荐:15%终身付款折扣:xwseo15 25%首次付款折扣 : xwseo115 点击下图进入购买

最近休假一个月,上班发现公司的一个老网站居然使用的是2014年的织梦老程序,导致网站快照被劫持,搜索发现快照变成其他网站的了,很多用dedecms程序的企业公司网站客户的反馈,说是公司网站经常被篡改,包括网站首页的标题内容以及描述内容,都被改成了什么北京赛车,北京PK10等等的彩票内容,而且大多数的网站客户都是从百度搜索关键词,点击进公司网站会被直接跳转到赌博网站上去。于是我猜想程序有漏洞,所以被挂黑链了,
那么该怎么解决这个事情呢?

在解决网站被挂黑链之前,我想给大家说一个观点:这个世界是相对的,记住没有绝对的安全,只能我们把安全细节做好,才能降低安全风险。

1.打开网站首页,查看源代码发现,首页标题,关键词,描述被篡改。

记录一次织梦网站被挂黑链解决方法完整版

2.由于网站标题,关键词,描述被挂黑链被篡改,导致网站快照也被更改。

记录一次织梦网站被挂黑链解决方法完整版

3.站长工具查后发现完全被更改。

记录一次织梦网站被挂黑链解决方法完整版

4.劫持后发现跳到不相关的页面。

记录一次织梦网站被挂黑链解决方法完整版

5.那么该怎么解决这个问题呢?防止织梦网站被黑的安全性设置的方法

我们首先分析下导致网站被挂黑链的原因:
1.网站程序漏洞导致,需要更新最新织梦官方程序。
2.服务器安全漏洞导致
3.ftp密码不安全导致
4.下载未知不安全程序和模板导致有病毒。
5.个人操作不当导致(信息安全不到位导致)

所以解决网站挂马和黑链问题从以上开始入手。

1.本案例是由于织梦漏洞导致,由于织梦程序太过于老旧导致被利用。

首先我们先开始利用一款软件来进行分析这款软件叫做D盾。

记录一次织梦网站被挂黑链解决方法完整版

记录一次织梦网站被挂黑链解决方法完整版

通过分析发现最容易挂马的目录为:

用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。

以下一些是可以删除的目录:

member会员功能

special专题功能

company企业模块

plusguestbook留言板

以下是可以删除的文件:

管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的:

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php

media_edit.php

media_main.php

再有:

不需要SQL命令运行器,将 dede/sys_sql_query.php 文件删除。

不需要tag功能,请将根目录下的tag.php删除。

不需要顶客,请将根目录下的digg.php与diggindex.php删除。

第七、多关注dedecms官方发布的安全补丁,及时打上补丁。

第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.

第九、DedeCms官网出的万能安全防护代码,登录dedecms官网论坛查看.

第十、最安全的方式:本地发布html,然后再织梦搬家到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。

十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据.

迄今为止,我们发现的恶意脚本文件有

plus/ac.php

plus/config_s.php

plus/config_bak.php

plus/diy.php

plus/ii.php

plus/lndex.php

data/cache/t.php

data/cache/x.php

data/config.php

data/cache/config_user.php

data/config_func.php等等

大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件。

通过查看服务器访问log文件知道了黑客是post到这两个文件后生成php文件在服务器上,然后再操作你的服务器。把这两个文件删了,就解决了长期以来的被挂马问题!

第十二、1.安装时数据库的前缀不用dedecms默认的前缀dede_,可以改成其他的名称,比如:diy_
2、装好dede织梦cms系统后,删除预装文件install,虽然对install目录已经进行了严格处理,但为了安全起见,我们依然建议把它删除。
3、修改织梦后台文件目录:把默认的dede改成其他名字
4、织梦后台后台密码尽量复杂化:密码应该由大写字母、小写字母和数字组成。
5、将系统的data目录迁移到根目录以外:data目录是系统缓存和配置文件的目录,一般都有可以读写的权限,只要是能够写入的目录都可能存在安全隐患,很多站长甚至给予这个
目录可执行的权限,更是非常危险,所以,长春建站网站长建议将这个data目录搬移出Web可访问目录之外。

6.分析文件目录(清楚php木马文件,根据修改文件的时间日期来清理)

1.先将templets 模板文件下载到本地,用批量替换工具将挂的黑链替换,并检查templets 模板有没有后门程序,如:.php 为后缀结尾的,你都分析下,里面很有可能隐藏后门程序。
2.对uploadfile 程序进行备份,下载到本地,检查有没有.php 为后缀结尾的 并分析
3.对数据库进行备份,并将备份下载到本地
4.对整个程序进行备份,并下载到本地
5.删除服务器上的整个网站,在dede官方,下载一个与你程序一致的版本,上传到服务器,并重新安装
6.将 检查后的 :数据库,和 uploadfile 和 templets 上传覆盖 服务器

完成以上步骤后 挂的连接 已经被清楚,包括后面程序也被清理。

7.总结网站为何被黑

那些被黑的网站一般是这样的环境和建站,你看看你的网站有没有被中招?

1.采用的比较老的织梦系统,没有升级和更新;

2.织梦网站安装,没有任何加固手段;

3.不用的插件虽然卸载,但没并有删除,还是有被利用的可能;

4.服务器采用虚拟主机(轻云主机)这类没办法加固和管理的环境;

5.模板可能是网上直接购买或下载的,没有进行检测;

8.如果不处理,可能会有以下问题:

1.网站打开非常慢,甚至打开异常,严重影响访问;

2.网站中有非法链接,轻者影响公司形象,重者被搜索引擎降权,被IDC的拦截系统屏蔽;

3.用户打开网站被中病毒;

4.网站数据被劫持,如表单数据被泄露,如果投放百度推广,流量被劫持;

5.被搜索影响标记为风险链接,百度、360等将拦截用户访问网站,恢复需要很久;

9.那为什么会反复被黑?自行清理或还原都不行呢?原因可能有2:

1.木马后门没有完全清除干净,有些一句话木马非常隐藏,一般使用者很验证完全清除;

2.还原网站,但是之前的程序就存在漏洞,就算还原了,漏洞依然存在,所以还是会被黑的。

10.那么应该怎么处理呢?根据我们的经验,以下步骤缺一不可:

第一步,清除网站中的恶意链接,清除木马后门(完全清除木马很容易不成功);

第二步,升级更新织梦程序至最新版;

第三步,对织梦网站进行安全加固(如清除不需要的组件、如移动data目录,如删除不必要的文件,如自定义数据库等);

第四步,对服务器环境进行加固(如文件权限控制,安装WAF等);最后,如果网站被标记为风险站点,还需要到各家搜索引擎处提交申请更新快照和移出风险标识。

处理完了这些,网站就不会再被黑了么?显然不是的,漏洞每天都在出现,黑客每天都在试探,和生病一样,我们只能治现在和过去的病,没办法治未来的病,只有时刻关注网络安全,才能保障网站的安全。

我们根据时间对比找到被修改的文件进行替换,或者直接删除黑链,当然最安全的办法是全部删除启用备份网站数据,这个就要求我们平时做好数据备份工作。

挂马原因很多,主要是补丁没有及时打上,一个是服务器的系统补丁,还有就是程序的安全补丁了,在新版本中已经加入了安全补丁提示和文件校验的功能,新人可以及时给自己的系统打上安全补丁,如果发现被挂马,首先确认被挂马的文件,然后下载相应版本程序覆盖。如果还是有问题,那说明是系统的问题,如果是合租服务器或者虚拟空间,联系空间商,如果是自己的服务器,请检查服务器系统的安全性。

再就是ftp密码设置过于简单或者网站后台密码过于简单,这个也是被黑的主要原因。还有我们上传的备份文档或者我们上传的密码找回文档没有被删除《》,后期我们上传的文档也需要及时删除。

总结安全防范:

1.不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,由于DEDE并没有任何地方使用存储过程,因此务必禁用FILE、EXECUTE 等执行存储过程或文件操作的权限。

2.对织梦及时升级打补丁。作为织梦官网,升级也是经常在做的,我们在登陆网站后台的时候,如果看到有升级提醒,需要及时升级文件,以防止因为没有升级造成漏洞入侵。一般常见
的安全,官网会第一时间发现,并且提供补丁。

3.不要忘记定期对数据备份。对于备份大家都知道,有利网站的安全,定期备份数据是任何网站都必须做的,不仅仅是DEDECMS织梦系统。

这些是常用的防攻击方法,正所谓:道高一尺,魔高一丈,网站排名好了,流量多了,就会有人想尽办法攻击你的网站,最好的办法是定期备份,并把备份文件下载到电脑安全的地方
保存好,网站如果被攻击,把空间里面的文件全部删除,上传备份文件即可。

4.网站安全中,对目录的执行权限是非常敏感的,一般来说,可以写入的目录是不能够拥有脚本的执行权限的,像DedeCMS系统,可写入的有两个目录data、uploads,data目录主要是基本配置文件和缓存数据,uploads则是附件上传保存的目录,取消这两个目录的执行权限,当然我们也建议用户其他一些生成纯静态html的目录,拥有可写入权限的也统统去除执行权限,这样系统会更为安全。打开IIS中站点,在站点uploads目录、data目录以及静态html生成目录点击右键,菜单中选择“属性”,在目录属性面板选择执行权限为“无”即可。

5.使用FTP工具查看网站文件的修改时间

每个网站文件都有自己的修改时间,例如说你的网站的修改时间是4月25日,通过FTP工具查看了一下,大部分文件都是4月25日的,突然看到某个文件的修改时间变成了与现在相近的时间,那么你的这个文件就有可能已经被人家动了手脚,被修改了文件源代码,挂了黑链,现在你最好是把这个文件下载到本地,详细查看一下文件源代码里有没有挂黑链的痕迹。当然,检查的时候,如果你是asp+access站点,看到你的数据库文件的修改时间也与现在相近,你对它基本可以忽略不计,譬如说你的网站文章里有统计文章点击次数的,访客浏览一次网站文章,即会写入数据库,自然也就会修改了数据库修改时间了。
6.经常查看网站的源代码
一般情况下,黑链被挂在首页的最多,站长需要经常查看网站的源代码,点击网站文字位置,右键,有一个“查看源文件”的选项,点开即可查看。
7.重要的事情说三遍:无论咋样,记得做好网站数据备份,数据备份,数据备份,重要的事情说三遍。
8.解决挂黑链以上方法是本人亲自实战的,当然网上还有其他方法,我没试过,大家可以参考下,我记录下方法如下:(操作此方法前记得备份压缩整个网站目录)

首先,进入织梦dede网站后台——系统设置

点击,——文件效验

点击,——在线获取最新指纹码

点击,——开始效验

点击,——从官方下载选中的文件并恢复(需要等待三分钟)

点击,——直接替换文件

就这样,织梦dede网站后台会挂黑链的问题就解决了。 再到网站首页、栏目页、文章也刷新后,就可以正常显示网站了, 也没有那些乱七八糟的赌博广告栏,网站后台的黑链也就没有了。

赞 (0)
分享到:更多 ()