织梦cms建站安全:dedecms被黑,被上传后门文件的快速恢复步骤

  如果您的网站被入侵,并被上传了后门文件,一般可能不只1个后门,可能有很多后门文件,并且会伪装成正常文件,想要清除,一般可以通过查杀后门的方法清除原程序中的病毒文件,此方法耗费时间较长,并难免有遗漏。

  本文介绍的方法思路为:仅保留绝对安全的内容,用全新安全的程序文件覆盖线上程序,可以最大程度防止后门残留,让网站全新如初。此思路可通用大多数程序,如dz等。

一、备份被入侵的站目录中的文件,备份数据库(以保留证据、数据)

  先备份再操作,超级重要!!!

  通过压缩打包的方式备份程序文件,再通过phpmyadmin备份数据库存为sql文件,备份数据以防误操作后丢失数据。

  再次提示,↑↑↑ 此步操作,超级重要!


  ------以下是dedecms被入侵后的快速恢复步骤------

二、下载全新的织梦程序,并解压在本地,做初步安全处理

  到织梦官方下载全新的程序包:http://www.dedecms.com/products/dedecms/downloads/ ,请注意对应的编码版本,推荐使用UTF-8版本,兼容性更强。

  1、删除以下文件夹:/member/special/install/templets/default (如果你需要会员功能,可以保留 /member 目录)。

  2、/plus 文件夹只保留以下内容: /plus/img/plus/count.php/plus/diy.php/plus/list.php/plus/search.php/plus/view.php除此之外的全部删除

  3、把 /dede 文件夹改名,这是后台登录地址,改为只有你知道的名字。

三、恢复数据库连接文件、恢复模板和上传的图片文件

  从你的备份包中找到以下文件,合并到上一步的文件夹中,注意位置和名称要一一对应的覆盖。

  1、复制 /data/common.inc.php 到程序包中覆盖。这是数据库连接信息

  2、复制 /data/config.cache.inc.php 到程序包中覆盖。这是站点配置缓存,检查一下这个文件中的内容文字是否被修改过

  以下目录需要先做安全处理:查找目录中是否存在php,asp等文件,如果有就删除掉。也可以使用安全扫描软件,如D盾、安全狗等扫描一下是否存在后门文件。

  3、复制 模板及相关css、js文件: /templets/模板文件夹、/style 、/css、/layout、/static  等等,根据你的模板实际情况

  4、复制 /uploads 到程序包中覆盖。这是上传的图片、附件等。

  以下可能是非必须的:

  5、复制 /include/extend.func.php 到程序包中覆盖 。这是自定义的函数,如果没有二次开发,这个文件可以跳过

  6、其他你曾经二次开发、修改过的文件

四、覆盖原站

  1、清空线上站的所有文件(建议先停止网站再清空)

  2、用FTP将这个合并后的程序文件包上传到你的主机空间,这个步骤你应该都会了

  上传完毕,你的站就恢复完成了。


  此方法要点:

  1、利用全新程序替换被入侵的程序

  2、新程序连接上原数据库。

  3、恢复后,请登录后台,检查有没有陌生的管理员账号,同时修改自己的管理员账号密码。

五、织梦的安全防范

  1、织梦的漏洞大多来自它的插件部分(plus),通过禁止plus等目录的写入,可以杜绝大部分入侵。具体方法可以参见本站另外一篇文章《织梦cms安全设置指南https://www.think3.cc/?id=5

  2、waf防火墙:一般被入侵,都是通过扫描上述有安全隐患的位置,达到上传后门的目的。大多waf可以阻挡这类扫描,如nginx/apache的请求过滤、安全狗iis版等。

  3、程序目录权限:大多入侵都是需要先向你服务器写入新的木马文件、并访问执行这个文件,从而达到修改整站的目的。严格设置目录写入权限,严格设置目录的可执行权限,也可以有效防御大多数入侵。

  如:在nginx中,可通过伪静态规则限制上传目录执行程序

location ~* ^/(a|data|templets|uploads|style|css|js|static|layout|assets|cache)/.*\.(php|php5|asp|jsp|aspx|py)$ {
	deny all;
}


欢迎转载,请注明来源:https://www.think3.cc/?id=6

评论列表: (共0条评论)

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。