dedecms被黑怎么办
如果您的网站被入侵,并被上传了后门文件,一般可能不只1个后门,可能有很多后门文件,并且会伪装成正常文件,想要清除,一般可以通过查杀后门的方法清除原程序中的病毒文件,此方法耗费时间较长,并难免有遗漏。
本文介绍的方法思路为:仅保留绝对安全的内容,用全新安全的程序文件覆盖线上程序,可以最大程度防止后门残留,让网站全新如初。此思路可通用大多数程序,如dz等。
一、备份被入侵的站目录中的文件,备份数据库(以保留证据、数据)
先备份再操作,超级重要!!!
通过压缩打包的方式备份程序文件,再通过phpmyadmin备份数据库存为sql文件,备份数据以防误操作后丢失数据。
再次提示,↑↑↑ 此步操作,超级重要!
------以下是dedecms被入侵后的快速恢复步骤------
二、下载全新的织梦程序,并解压在本地,做初步安全处理
到织梦官方下载全新的程序包:http://www.dedecms.com/products/dedecms/downloads/ ,请注意对应的编码版本,推荐使用UTF-8版本,兼容性更强。
1、删除以下文件夹:/member 、/special、/install,/templets/default (如果你需要会员功能,可以保留 /member 目录)。
2、/plus 文件夹只保留以下内容: /plus/img 、/plus/count.php、 /plus/diy.php、 /plus/list.php、/plus/search.php、/plus/view.php,除此之外的全部删除。
3、把 /dede 文件夹改名,这是后台登录地址,改为只有你知道的名字。
三、恢复数据库连接文件、恢复模板和上传的图片文件
从你的备份包中找到以下文件,合并到上一步的文件夹中,注意位置和名称要一一对应的覆盖。
1、复制 /data/common.inc.php 到程序包中覆盖。这是数据库连接信息
2、复制 /data/config.cache.inc.php 到程序包中覆盖。这是站点配置缓存,检查一下这个文件中的内容文字是否被修改过
以下目录需要先做安全处理:查找目录中是否存在php,asp等文件,如果有就删除掉。也可以使用安全扫描软件,如D盾、安全狗等扫描一下是否存在后门文件。
3、复制 模板及相关css、js文件: /templets/模板文件夹、/style 、/css、/layout、/static 等等,根据你的模板实际情况
4、复制 /uploads 到程序包中覆盖。这是上传的图片、附件等。
以下可能是非必须的:
5、复制 /include/extend.func.php 到程序包中覆盖 。这是自定义的函数,如果没有二次开发,这个文件可以跳过
6、其他你曾经二次开发、修改过的文件
四、覆盖原站
1、清空线上站的所有文件(建议先停止网站再清空)
2、用FTP将这个合并后的程序文件包上传到你的主机空间,这个步骤你应该都会了
上传完毕,你的站就恢复完成了。
此方法要点:
1、利用全新程序替换被入侵的程序
2、新程序连接上原数据库。
3、恢复后,请登录后台,检查有没有陌生的管理员账号,同时修改自己的管理员账号密码。
五、织梦的安全防范
1、织梦的漏洞大多来自它的插件部分(plus),通过禁止plus等目录的写入,可以杜绝大部分入侵。具体方法可以参见本站另外一篇文章《织梦cms安全设置指南》https://www.think3.cc/?id=5
2、waf防火墙:一般被入侵,都是通过扫描上述有安全隐患的位置,达到上传后门的目的。大多waf可以阻挡这类扫描,如nginx/apache的请求过滤、安全狗iis版等。
3、程序目录权限:大多入侵都是需要先向你服务器写入新的木马文件、并访问执行这个文件,从而达到修改整站的目的。严格设置目录写入权限,严格设置目录的可执行权限,也可以有效防御大多数入侵。
如:在nginx中,可通过伪静态规则限制上传目录执行程序
PHP
location ~* ^/(a|data|templets|uploads|style|css|js|static|layout|assets|cache)/.*\.(php|php5|asp|jsp|aspx|py)$ {
deny all;
}更多dedecms技术文章,请访问dedecms使用教程栏目!
