最近休假一个月,上班发现公司的一个老网站居然使用的是2014年的织梦老程序,导致网站快照被劫持,搜索发现快照变成其他网站的了,很多用dedecms程序的企业公司网站客户的反馈,说是公司网站经常被篡改,包括网站首页的标题内容以及描述内容,都被改成了什么北京赛车,北京PK10等等的彩票内容,而且大多数的网站客户都是从百度搜索关键词,点击进公司网站会被直接跳转到赌博网站上去。于是我猜想程序有漏洞,所以被挂黑链了,
那么该怎么解决这个事情呢?
在解决网站被挂黑链之前,我想给大家说一个观点:这个世界是相对的,记住没有绝对的安全,只能我们把安全细节做好,才能降低安全风险。
1.打开网站首页,查看源代码发现,首页标题,关键词,描述被篡改。
2.由于网站标题,关键词,描述被挂黑链被篡改,导致网站快照也被更改。
3.站长工具查后发现完全被更改。
4.劫持后发现跳到不相关的页面。
5.那么该怎么解决这个问题呢?防止织梦网站被黑的安全性设置的方法
我们首先分析下导致网站被挂黑链的原因:
1.网站程序漏洞导致,需要更新最新织梦官方程序。
2.服务器安全漏洞导致
3.ftp密码不安全导致
4.下载未知不安全程序和模板导致有病毒。
5.个人操作不当导致(信息安全不到位导致)
所以解决网站挂马和黑链问题从以上开始入手。
1.本案例是由于织梦漏洞导致,由于织梦程序太过于老旧导致被利用。
首先我们先开始利用一款软件来进行分析这款软件叫做D盾。
通过分析发现最容易挂马的目录为:
用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
以下一些是可以删除的目录:
member会员功能
special专题功能
company企业模块
plusguestbook留言板
以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的:
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
再有:
不需要SQL命令运行器,将 dede/sys_sql_query.php 文件删除。
不需要tag功能,请将根目录下的tag.php删除。
不需要顶客,请将根目录下的digg.php与diggindex.php删除。
第七、多关注dedecms官方发布的安全补丁,及时打上补丁。
第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.
第九、DedeCms官网出的万能安全防护代码,登录dedecms官网论坛查看.
第十、最安全的方式:本地发布html,然后再织梦搬家到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。
十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据.
迄今为止,我们发现的恶意脚本文件有
plus/ac.php
plus/config_s.php
plus/config_bak.php
plus/diy.php
plus/ii.php
plus/lndex.php
data/cache/t.php
data/cache/x.php
data/config.php
data/cache/config_user.php
data/config_func.php等等
大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件。
通过查看服务器访问log文件知道了黑客是post到这两个文件后生成php文件在服务器上,然后再操作你的服务器。把这两个文件删了,就解决了长期以来的被挂马问题!
第十二、1.安装时数据库的前缀不用dedecms默认的前缀dede_,可以改成其他的名称,比如:diy_
2、装好dede织梦cms系统后,删除预装文件install,虽然对install目录已经进行了严格处理,但为了安全起见,我们依然建议把它删除。
3、修改织梦后台文件目录:把默认的dede改成其他名字
4、织梦后台后台密码尽量复杂化:密码应该由大写字母、小写字母和数字组成。
5、将系统的data目录迁移到根目录以外:data目录是系统缓存和配置文件的目录,一般都有可以读写的权限,只要是能够写入的目录都可能存在安全隐患,很多站长甚至给予这个
目录可执行的权限,更是非常危险,所以,长春建站网站长建议将这个data目录搬移出Web可访问目录之外。
6.分析文件目录(清楚php木马文件,根据修改文件的时间日期来清理)
1.先将templets 模板文件下载到本地,用批量替换工具将挂的黑链替换,并检查templets 模板有没有后门程序,如:.php 为后缀结尾的,你都分析下,里面很有可能隐藏后门程序。
2.对uploadfile 程序进行备份,下载到本地,检查有没有.php 为后缀结尾的 并分析
3.对数据库进行备份,并将备份下载到本地
4.对整个程序进行备份,并下载到本地
5.删除服务器上的整个网站,在dede官方,下载一个与你程序一致的版本,上传到服务器,并重新安装
6.将 检查后的 :数据库,和 uploadfile 和 templets 上传覆盖 服务器
完成以上步骤后 挂的连接 已经被清楚,包括后面程序也被清理。
7.总结网站为何被黑
那些被黑的网站一般是这样的环境和建站,你看看你的网站有没有被中招?
1.采用的比较老的织梦系统,没有升级和更新;
2.织梦网站安装,没有任何加固手段;
3.不用的插件虽然卸载,但没并有删除,还是有被利用的可能;
4.服务器采用虚拟主机(轻云主机)这类没办法加固和管理的环境;
5.模板可能是网上直接购买或下载的,没有进行检测;
8.如果不处理,可能会有以下问题:
1.网站打开非常慢,甚至打开异常,严重影响访问;
2.网站中有非法链接,轻者影响公司形象,重者被搜索引擎降权,被IDC的拦截系统屏蔽;
3.用户打开网站被中病毒;
4.网站数据被劫持,如表单数据被泄露,如果投放百度推广,流量被劫持;
5.被搜索影响标记为风险链接,百度、360等将拦截用户访问网站,恢复需要很久;
9.那为什么会反复被黑?自行清理或还原都不行呢?原因可能有2:
1.木马后门没有完全清除干净,有些一句话木马非常隐藏,一般使用者很验证完全清除;
2.还原网站,但是之前的程序就存在漏洞,就算还原了,漏洞依然存在,所以还是会被黑的。
10.那么应该怎么处理呢?根据我们的经验,以下步骤缺一不可:
第一步,清除网站中的恶意链接,清除木马后门(完全清除木马很容易不成功);
第二步,升级更新织梦程序至最新版;
第三步,对织梦网站进行安全加固(如清除不需要的组件、如移动data目录,如删除不必要的文件,如自定义数据库等);
第四步,对服务器环境进行加固(如文件权限控制,安装WAF等);最后,如果网站被标记为风险站点,还需要到各家搜索引擎处提交申请更新快照和移出风险标识。
处理完了这些,网站就不会再被黑了么?显然不是的,漏洞每天都在出现,黑客每天都在试探,和生病一样,我们只能治现在和过去的病,没办法治未来的病,只有时刻关注网络安全,才能保障网站的安全。
我们根据时间对比找到被修改的文件进行替换,或者直接删除黑链,当然最安全的办法是全部删除启用备份网站数据,这个就要求我们平时做好数据备份工作。
挂马原因很多,主要是补丁没有及时打上,一个是服务器的系统补丁,还有就是程序的安全补丁了,在新版本中已经加入了安全补丁提示和文件校验的功能,新人可以及时给自己的系统打上安全补丁,如果发现被挂马,首先确认被挂马的文件,然后下载相应版本程序覆盖。如果还是有问题,那说明是系统的问题,如果是合租服务器或者虚拟空间,联系空间商,如果是自己的服务器,请检查服务器系统的安全性。
再就是ftp密码设置过于简单或者网站后台密码过于简单,这个也是被黑的主要原因。还有我们上传的备份文档或者我们上传的密码找回文档没有被删除《》,后期我们上传的文档也需要及时删除。
总结安全防范:
1.不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,由于DEDE并没有任何地方使用存储过程,因此务必禁用FILE、EXECUTE 等执行存储过程或文件操作的权限。
2.对织梦及时升级打补丁。作为织梦官网,升级也是经常在做的,我们在登陆网站后台的时候,如果看到有升级提醒,需要及时升级文件,以防止因为没有升级造成漏洞入侵。一般常见
的安全,官网会第一时间发现,并且提供补丁。
3.不要忘记定期对数据备份。对于备份大家都知道,有利网站的安全,定期备份数据是任何网站都必须做的,不仅仅是DEDECMS织梦系统。
这些是常用的防攻击方法,正所谓:道高一尺,魔高一丈,网站排名好了,流量多了,就会有人想尽办法攻击你的网站,最好的办法是定期备份,并把备份文件下载到电脑安全的地方
保存好,网站如果被攻击,把空间里面的文件全部删除,上传备份文件即可。
4.网站安全中,对目录的执行权限是非常敏感的,一般来说,可以写入的目录是不能够拥有脚本的执行权限的,像DedeCMS系统,可写入的有两个目录data、uploads,data目录主要是基本配置文件和缓存数据,uploads则是附件上传保存的目录,取消这两个目录的执行权限,当然我们也建议用户其他一些生成纯静态html的目录,拥有可写入权限的也统统去除执行权限,这样系统会更为安全。打开IIS中站点,在站点uploads目录、data目录以及静态html生成目录点击右键,菜单中选择“属性”,在目录属性面板选择执行权限为“无”即可。
5.使用FTP工具查看网站文件的修改时间
一般情况下,黑链被挂在首页的最多,站长需要经常查看网站的源代码,点击网站文字位置,右键,有一个“查看源文件”的选项,点开即可查看。
首先,进入织梦dede网站后台——系统设置
点击,——文件效验
点击,——在线获取最新指纹码
点击,——开始效验
点击,——从官方下载选中的文件并恢复(需要等待三分钟)
点击,——直接替换文件
就这样,织梦dede网站后台会挂黑链的问题就解决了。 再到网站首页、栏目页、文章也刷新后,就可以正常显示网站了, 也没有那些乱七八糟的赌博广告栏,网站后台的黑链也就没有了。