dedecms index.php挂马,dedecms被挂马常见解决方法
dedecms被挂马常见解决方法
dedecms挂马类型及解决方式:
1、90sec.php木马
我想这个木马程序,凡是用过织梦程序且中过该木马的站长们,应该都不陌生,此木马极其难缠,删了,第二天又会出现,这是因为没有找到根本原因所在,具体解决办法是在include/dedesql.class.php 找到$v2 .= chr($arrs2[$i]); 将其注释掉。
if(isset($GLOBALS['arrs1']))
{
$v1 = $v2 = ”;
for($i=0;isset($arrs1[$i]);$i++)
{
$v1 .= chr($arrs1[$i]);
}
for($i=0;isset($arrs2[$i]);$i++)
{
// $v2 .= chr($arrs2[$i]); //注释这里
}
$GLOBALS[$v1] .= $v2;
}
2、数据库下的tplcache缓存文件
这个文件夹里也是木马程序的常驻基地,也是删了又挂,挂了又删,飞鹿优化的解决方法就,把data数据库的写入权限给关了,具体方法是,dedecms的程序是php,所以我们用的空间一般都自带的有一个.htaccess,这是一个配置文件, 其中,网站的301重定向、404错误页面、允许/阻止特定的用户或者目录的访问、禁止目录列表等功能都能在这里面实现,具体的操作写法是,打开这个文件之后,输入以下命令保存即可。
RewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ [F]
RewriteRule data/(.*).(php)$ [F]
RewriteRule templets/(.*).(php)$ [F]
3、DedeCMS 5.7 SQL注入漏洞
这个漏洞,飞鹿优化的网站倒是没有被利用过,只是用安全联盟检查出有该漏洞,这个漏洞已经引起360安全的注意,呼吁广大站长赶紧打补丁。
4、 简单挂马
首页被挂马,登录网站后,杀毒软件报警,检查后,发现首页index.asp检查,底部出现,清理掉后,页面即正常,这种挂马主要以直接修改首页文件为主,容易发现和清理。
5、 网页后门挂马
登录网站任何页面都出现杀毒报警,按之前的方法查看index.asp,并且去掉了iframe语句。但却发现问题依然存在,于是查看其他文件才发现,所有文件全部加上了挂马语句,即使恢复了首页,但用户访问其他页面的时候依然会蹦出病毒提示。采用备份文件覆盖恢复,重装操作系统等方法都实验以后,隔天后可能再出现被挂马的情况,此时应怀疑属于网页后门导致,于是检查所有asp程序文件,攻击者往往会采用一些双扩展名的文件存放在,例如图片目录当中,xxxx.jpg.asp文件,打开来看代码类似于 这样的语句,明显是一句话后门,从文件名来判断,这种伪装图片的后缀上来的文件,应怀疑是提交图片功能存在上传漏洞,建议停用或者采用云锁进行过滤和检查网页木马。
6、 数据库挂马
访问首页病毒报警,全盘查找,没有发现首页和其他文件被篡改,如果对比所有文件的md5,发现文件没有任何篡改的迹象,也就是说文件还是那些文件,为啥会出现挂马页面呢?可以考虑检查数据库中表单是否被挂马,网页木马并没有挂在文件里,而是挂在数据库内容里。原理是首页调用活动新闻的时候,从数据库里读出表单内容,形成网页,因此读取的地方被插入了挂马语句,通过日志分析可以看到类似sql注入漏洞的log。
可能最初会有一些探测语句。
从此判断应该是news.asp存在注入问题,因此加入对变量类型判断和关键字过滤等工作,再将数据库中的挂马字段进行修改。可用云锁轻松拦截这些语句。
7、 文件调用挂马
应查看被调用的其他页面,常见的conn.asp等被包含的文件,有可能被插入后门,为啥修改这一个文件就能这么大威力呢?因为所有页面都调用了这个文件来连接数据库。文件可能会包含数据库的ip端口用户名及密码。此时应对数据库进行检查,例如数据库日志寻找一下是否有类似执行master..xp_cmdshell的记录,攻击者可能利用该扩展功能执行了系统命令来修改了文件,建议修改数据库口令,把数据库权限降到pubilc。将1433端口利用ipsec进行屏蔽,只允许本机访问。用云锁的防火墙功能进行拦截,并且可以扫描出被挂马的文件。
8、 arp挂马
用户反映访问网站的时候,杀毒软件提示病毒,但是登录服务器自己访问http://127.0.0.1或本地ip,却没有发现被挂马,但是所有用户通过域名去访问,就会有提示,可以通过服务器上进行抓包分析,检查是否能发现大量arp包,这种arp包通常是将服务器的mac地址转向另一个ip,利用arp协议进行挂马,这种情况的花需要在交换机上进行mac和ip地址绑定,在交换机上进行配置以后。
9、 域名劫持挂马
直接在服务器通过ip访问就正常,用户通过域名访问就是提示有病毒,此时ping 自己网站域名的时候,如果显示的ip和真实的不一样,需要赶紧查看域名解析是否被修改,登录域名管理后台,修改为正常的,并且修改管理密码。
10、 后台程序挂马
更新网页的后台程序,一般会使用一些熟悉的路径。
dedecms index.php挂马,dedecms被挂马常见解决方法相关推荐
- dedecms织梦系统后台验证码图片不显示的解决方法
dedecms织梦系统后台验证码图片不显示的解决方法 参考文章: (1)dedecms织梦系统后台验证码图片不显示的解决方法 (2)https://www.cnblogs.com/afish/p/40 ...
- 织梦 plus/download.php,织梦DedeCMS 5.7SP1 /plus/download.php url重定向漏洞的解决方法
最近使用scanv网站体检发现有DedeCMS 5.7SP1 /plus/download.php url重定向漏洞(如下图),对比官方网站最新下载包发现该漏洞未进行补丁,但官方自身网站已经补上了,而 ...
- dede 验证码不显示 vdimgck.php,织梦(dedecms)后台登录验证码不显示或不正常的解决方法...
随着互联网的快速发展,站长已经成为了互联网中的新兴人群,而其中建站使用的cms以织梦居多,伴随着人数的增多,在使用织梦cms中遇到的问题也越来越多,其中最棘手的问题莫过于验证码无法显示而导致无法登陆后 ...
- DEDECMS教程:后台验证码图片不显示的多种解决方法
第一种:打开 login.php 找到: if($validate==" || $validate != $svali) 替换为: if( false ) 然后,在模板dede/temple ...
- 织梦download.php漏洞,织梦DedeCMS 5.7SP1 /plus/download.php url重定向漏洞的解决方法
Dedecms 5.7SP1 /plus/download.PHP url重定向漏洞(如下图),对比官方网站最新下载包发现该漏洞未进行补丁,但官方自身网站已经补上了,而官方演示站点均未补上. 解决思路 ...
- 新建jsp文件没有index.html,Eclipse------新建文件时没有JSP File解决方法
1.为没有web选项的eclipse添加web and JavaEE插件 .在Eclipse中菜单help选项中选择install new software选项 .在work with 栏中输入 Ju ...
- 如何让dede支持php7,dedecms在php7下的使用方法,织梦dedecsm后台一片空白的解决方法...
前几天, 一个老客户, 最近升级了服务器, php到php7, 把织梦dedecms转移到新服务器后, 不能登录后台, 让帮忙看一下. 我看了下他们的网站, 使用的是织梦V57_UTF8_SP1 前台 ...
- 得得模板首页快照劫持、被篡改被挂马、被入侵解决方法
第一步:Dedecms备份: 1-1.后台-系统-数据库备份/还原,数据备份. 1-2.打包整站下载到你电脑上来,防止被改坏了无法还原回来.打包可以利用主机面板的打包功能,快速又方便. 织梦安全防护教 ...
- 一键复制php代码,PHP_php下批量挂马和批量清马代码,复制代码 代码如下:?php funct - phpStudy...
php下批量挂马和批量清马代码 复制代码 代码如下: function gmfun($path=".") { $d = @dir($path); while(false !== ( ...
- 网马的反挂马检测及精确投放(免杀)
前天shadow在群里提到或许可以采取一些方法来实现对挂马检测系统的绕过,遂与其深入探讨了下,事后又考虑到网马的精确投放,总结了一些点做了点儿技术实现 ,并在这里简单记录下想到的一些想法,欢迎其他大牛 ...
最新文章
- Java面向对象:覆写与重载
- C++托管代码生成DLL
- React-Native android在windows下的踩坑记
- java 注解去掉缓存_java spring 使用注解来实现缓存
- 四十九、IQ 与测试评分案例
- 设计模式:单例模式的写法(基础写法和线程安全写法)
- 预测回归_回归分析预测技术简介
- Android Handler的内存泄露场景分析
- 超算简史:练飞天之技,登峰一战后,终有落地日 | 凌云时刻
- 无类IP地址与子网的算法
- 数字电子技术课程设计用单片机实现数字电子钟
- 【转载】robocopy的用法
- arduino(16):使用ESP32的SPI接入PS2手柄,修改LIB解决ESP32兼容问题,setup进行while循环验证,直到加载成功,修改别人代码上传到github上。
- ASP.NET Word转换成PDF文件
- 打开chm文件c语言,chm格式,手把手教你chm文件怎么打开
- 什么是视频结构化?视频结构化有什么作用
- python_6_17
- (纪录片)数学的故事 The Story of Maths (2008)
- python证书过期_简单python脚本监控SSL证书到期提醒
- gensim numpy spicy等词云图制作库的安装方法(着重后期)