记录一次织梦网站被挂黑链解决方法完整版

最近休假一个月，上班发现公司的一个老网站居然使用的是2014年的织梦老程序，导致网站快照被劫持，搜索发现快照变成其他网站的了，很多用dedecms程序的企业公司网站客户的反馈，说是公司网站经常被篡改，包括网站首页的标题内容以及描述内容，都被改成了什么北京赛车，北京PK10等等的彩票内容，而且大多数的网站客户都是从百度搜索关键词，点击进公司网站会被直接跳转到赌博网站上去。于是我猜想程序有漏洞，所以被挂黑链了，
那么该怎么解决这个事情呢？

在解决网站被挂黑链之前，我想给大家说一个观点：这个世界是相对的，记住没有绝对的安全，只能我们把安全细节做好，才能降低安全风险。

1.打开网站首页，查看源代码发现，首页标题，关键词，描述被篡改。

2.由于网站标题，关键词，描述被挂黑链被篡改，导致网站快照也被更改。

3.站长工具查后发现完全被更改。

4.劫持后发现跳到不相关的页面。

5.那么该怎么解决这个问题呢？防止织梦网站被黑的安全性设置的方法

我们首先分析下导致网站被挂黑链的原因：
1.网站程序漏洞导致，需要更新最新织梦官方程序。
2.服务器安全漏洞导致
3.ftp密码不安全导致
4.下载未知不安全程序和模板导致有病毒。
5.个人操作不当导致（信息安全不到位导致）

所以解决网站挂马和黑链问题从以上开始入手。

1.本案例是由于织梦漏洞导致，由于织梦程序太过于老旧导致被利用。

首先我们先开始利用一款软件来进行分析这款软件叫做D盾。

通过分析发现最容易挂马的目录为：

用不到的功能一概关闭，比如会员、评论等，如果没有必要通通在后台关闭。

以下一些是可以删除的目录：

member会员功能

special专题功能

company企业模块

plusguestbook留言板

以下是可以删除的文件：

管理目录下的这些文件是后台文件管理器，属于多余功能，而且最影响安全,许多HACK都是通过它来挂马的：

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php

media_edit.php

media_main.php

再有：

不需要SQL命令运行器，将 dede/sys_sql_query.php 文件删除。

不需要tag功能，请将根目录下的tag.php删除。

不需要顶客，请将根目录下的digg.php与diggindex.php删除。

第七、多关注dedecms官方发布的安全补丁，及时打上补丁。

第八、下载发布功能(管理目录下soft__xxx_xxx.php)，不用的话可以删掉，这个也比较容易上传小马的.

第九、DedeCms官网出的万能安全防护代码,登录dedecms官网论坛查看.

第十、最安全的方式：本地发布html，然后再织梦搬家到空间。不包含任何动态内容，理论上最安全，不过维护相对来说比较麻烦。

十一，还是得经常检查自己的网站，被挂黑链是小事，被挂木马或删程序就很惨了，运气不好的话，排名也会跟着掉。所以还得记得时常备份数据.

迄今为止，我们发现的恶意脚本文件有

plus/ac.php

plus/config_s.php

plus/config_bak.php

plus/diy.php

plus/ii.php

plus/lndex.php

data/cache/t.php

data/cache/x.php

data/config.php

data/cache/config_user.php

data/config_func.php等等

大多数被上传的脚本集中在plus、data、data/cache三个目录下，请仔细检查三个目录下最近是否有被上传文件。

通过查看服务器访问log文件知道了黑客是post到这两个文件后生成php文件在服务器上，然后再操作你的服务器。把这两个文件删了，就解决了长期以来的被挂马问题!

第十二、1.安装时数据库的前缀不用dedecms默认的前缀dede_，可以改成其他的名称，比如：diy_
2、装好dede织梦cms系统后，删除预装文件install，虽然对install目录已经进行了严格处理，但为了安全起见，我们依然建议把它删除。
3、修改织梦后台文件目录：把默认的dede改成其他名字
4、织梦后台后台密码尽量复杂化：密码应该由大写字母、小写字母和数字组成。
5、将系统的data目录迁移到根目录以外：data目录是系统缓存和配置文件的目录,一般都有可以读写的权限，只要是能够写入的目录都可能存在安全隐患，很多站长甚至给予这个
目录可执行的权限，更是非常危险，所以，长春建站网站长建议将这个data目录搬移出Web可访问目录之外。

6.分析文件目录（清楚php木马文件，根据修改文件的时间日期来清理）

1.先将templets 模板文件下载到本地，用批量替换工具将挂的黑链替换，并检查templets 模板有没有后门程序，如：.php 为后缀结尾的，你都分析下，里面很有可能隐藏后门程序。
2.对uploadfile 程序进行备份，下载到本地，检查有没有.php 为后缀结尾的 并分析
3.对数据库进行备份，并将备份下载到本地
4.对整个程序进行备份，并下载到本地
5.删除服务器上的整个网站，在dede官方，下载一个与你程序一致的版本，上传到服务器，并重新安装
6.将 检查后的 ：数据库，和 uploadfile 和 templets 上传覆盖 服务器

完成以上步骤后 挂的连接 已经被清楚，包括后面程序也被清理。

7.总结网站为何被黑

那些被黑的网站一般是这样的环境和建站，你看看你的网站有没有被中招？

1.采用的比较老的织梦系统，没有升级和更新；

2.织梦网站安装，没有任何加固手段；

3.不用的插件虽然卸载，但没并有删除，还是有被利用的可能；

4.服务器采用虚拟主机（轻云主机）这类没办法加固和管理的环境；

5.模板可能是网上直接购买或下载的，没有进行检测；

8.如果不处理，可能会有以下问题：

1.网站打开非常慢，甚至打开异常，严重影响访问；

2.网站中有非法链接，轻者影响公司形象，重者被搜索引擎降权，被IDC的拦截系统屏蔽；

3.用户打开网站被中病毒；

4.网站数据被劫持，如表单数据被泄露，如果投放百度推广，流量被劫持；

5.被搜索影响标记为风险链接，百度、360等将拦截用户访问网站，恢复需要很久；

9.那为什么会反复被黑？自行清理或还原都不行呢？原因可能有2：

1.木马后门没有完全清除干净，有些一句话木马非常隐藏，一般使用者很验证完全清除；

2.还原网站，但是之前的程序就存在漏洞，就算还原了，漏洞依然存在，所以还是会被黑的。

10.那么应该怎么处理呢？根据我们的经验，以下步骤缺一不可：

第一步，清除网站中的恶意链接，清除木马后门（完全清除木马很容易不成功）；

第二步，升级更新织梦程序至最新版；

第三步，对织梦网站进行安全加固（如清除不需要的组件、如移动data目录，如删除不必要的文件，如自定义数据库等）；

第四步，对服务器环境进行加固（如文件权限控制，安装WAF等）；最后，如果网站被标记为风险站点，还需要到各家搜索引擎处提交申请更新快照和移出风险标识。

处理完了这些，网站就不会再被黑了么？显然不是的，漏洞每天都在出现，黑客每天都在试探，和生病一样，我们只能治现在和过去的病，没办法治未来的病，只有时刻关注网络安全，才能保障网站的安全。

我们根据时间对比找到被修改的文件进行替换，或者直接删除黑链，当然最安全的办法是全部删除启用备份网站数据，这个就要求我们平时做好数据备份工作。

挂马原因很多，主要是补丁没有及时打上，一个是服务器的系统补丁，还有就是程序的安全补丁了，在新版本中已经加入了安全补丁提示和文件校验的功能，新人可以及时给自己的系统打上安全补丁，如果发现被挂马，首先确认被挂马的文件，然后下载相应版本程序覆盖。如果还是有问题，那说明是系统的问题，如果是合租服务器或者虚拟空间，联系空间商，如果是自己的服务器，请检查服务器系统的安全性。

再就是ftp密码设置过于简单或者网站后台密码过于简单，这个也是被黑的主要原因。还有我们上传的备份文档或者我们上传的密码找回文档没有被删除《》，后期我们上传的文档也需要及时删除。

总结安全防范：

1.不要对网站直接使用MySQL root用户的权限，给每个网站设置独立的MySQL用户帐号，由于DEDE并没有任何地方使用存储过程，因此务必禁用FILE、EXECUTE 等执行存储过程或文件操作的权限。

2.对织梦及时升级打补丁。作为织梦官网，升级也是经常在做的，我们在登陆网站后台的时候，如果看到有升级提醒，需要及时升级文件，以防止因为没有升级造成漏洞入侵。一般常见
的安全，官网会第一时间发现，并且提供补丁。

3.不要忘记定期对数据备份。对于备份大家都知道，有利网站的安全，定期备份数据是任何网站都必须做的，不仅仅是DEDECMS织梦系统。

这些是常用的防攻击方法，正所谓：道高一尺，魔高一丈，网站排名好了，流量多了，就会有人想尽办法攻击你的网站，最好的办法是定期备份，并把备份文件下载到电脑安全的地方
保存好，网站如果被攻击，把空间里面的文件全部删除，上传备份文件即可。

4.网站安全中，对目录的执行权限是非常敏感的，一般来说，可以写入的目录是不能够拥有脚本的执行权限的，像DedeCMS系统，可写入的有两个目录data、uploads，data目录主要是基本配置文件和缓存数据，uploads则是附件上传保存的目录，取消这两个目录的执行权限，当然我们也建议用户其他一些生成纯静态html的目录，拥有可写入权限的也统统去除执行权限，这样系统会更为安全。打开IIS中站点，在站点uploads目录、data目录以及静态html生成目录点击右键，菜单中选择“属性”，在目录属性面板选择执行权限为“无”即可。

5.使用FTP工具查看网站文件的修改时间