当前位置: 主页 > 帮助中心 > VPS Tools >

DEDE被挂马后站长该如何自救

时间:2014-01-27 05:36来源:Internet 点击: 分类:VPS Tools
------分隔线----------------------------
DEDE被挂马后,笔者推荐的做法是,直接把数据库和源代码替换成干净的代码。当然这样做的前提是曾经备份过数据库和代码。如果之前没有做这类工作,现在又被挂马了,则建议按照如下步骤来进行处理。
       为了保证攻击方已经停止攻击,必须关闭网站。
       第一:进DedeCMS管理后台检查是否有新补丁或安全提醒没有及时更新。
       第二:检查源文件中是否有相应木马病毒代码,以确认是否为ARP攻击
    ARP攻击表现:程序文件毫无异动,攻击是采用欺骗目标网关以达到欺骗用户端的效果,实现用户端访问网站加载木马的目的。
    ARP攻击防范:对服务器加装防ARP攻击类的软件及其它应对措施,或联系您的IDC服务商。
      第三:检查目录权限,确定哪些目录有写入和执行的权限,因为DEDE涉及的目录非常之多,这里建议借助相关工具进行检查。
      第四:检查根目录下的每一个目录,查找最近被修改过的可疑文件。
   1、最快捷的方式借助记事本工具打开查找,如果是真被挂马,这里分析下都能找到,当然需要一定的代码经验。
   2、通过观察表现为整站被挂,建议着重先检查下整站调用的js文件。
   3、找出被挂的代码后,复制代码的关键语句部分,打开替换类软件批量替或批量找吧。
   4、特别提醒,尽管代码已经被污染了,但是一定要做好备份再进行处理。
     第五:查看可疑文件的修改时间,确定木马情况。分析IISLOG日志,追根朔源查找入侵点,这就是为什么平时需要打开IIS日志的原因了,当然这里需要借助IISLOG分析类软件进行处理。
      另一方面,在进行自救的同时,要学会向搜索引擎求救。更专业的做法是向官方求助或报告安全问题。

TAG: DeDe
------分隔线----------------------------
在线客服

VPS.GL专业VPS服务商 84951820

VPS.GL专业VPS服务商 84541290

MSN/Email咨询:support@vps.gl

官方淘宝店:VPSGL.taobao.com

搜索文章
推荐内容

联系方式

  • 联系我们
  • 加入团队