最近朋友的一個(gè)網(wǎng)站被掛了黑鏈,被叫去做技術(shù)支持= =!
簡(jiǎn)單介紹一下具體情況:
訪問(wèn)網(wǎng)站:www.xinsanwen.cn顯示的是黑鏈地址,通過(guò)審查元素可以清晰的看到這些被加密過(guò)的文件。如果你看不懂這些符號(hào)沒(méi)關(guān)系,我們可以通過(guò)JS機(jī)密基本看到一些信息。
記錄一次帝國(guó)CMS模板被木馬入侵后清理的過(guò)程,其他CMS類似【大佬勿噴】
記錄一次帝國(guó)CMS模板被木馬入侵后清理的過(guò)程,其他CMS類似【大佬勿噴】
可能很多小伙伴沒(méi)辦法審查元素,因?yàn)槟阋淮蜷_(kāi)網(wǎng)址就跳轉(zhuǎn)走了,不要慌,知道君教你們一個(gè)簡(jiǎn)單的辦法。【其他網(wǎng)站類似】
1、先隨便打開(kāi)一個(gè)網(wǎng)址:我一般打開(kāi)百度,鼠標(biāo)右鍵查看源碼,然后把我們的域名復(fù)制過(guò)去就可以看到網(wǎng)站的html了。
記錄一次帝國(guó)CMS模板被木馬入侵后清理的過(guò)程,其他CMS類似【大佬勿噴】
記錄一次帝國(guó)CMS模板被木馬入侵后清理的過(guò)程,其他CMS類似【大佬勿噴】
2、把html中的快照劫持代碼清除,【像這種代碼,一般存在模板中】
記錄一次帝國(guó)CMS模板被木馬入侵后清理的過(guò)程,其他CMS類似【大佬勿噴】
有小伙伴可能覺(jué)得把這個(gè)刪除就OK了,那你就大錯(cuò)特錯(cuò),刪除這里只是第一步,你還得繼續(xù)找到核心的木馬文件,這種后門文件可能是一個(gè),也可能是N個(gè),在不借助外來(lái)工具的情況下,我們就需要一步步一個(gè)個(gè)文件夾去查看。當(dāng)然如果你有其他工具配合使用當(dāng)然更好。我一般使用D盾,如果是像織夢(mèng)這樣的文件比較少的我會(huì)直接找,但是今天我朋友這個(gè)是帝國(guó)的,文件稍微有點(diǎn)多,一個(gè)個(gè)找太費(fèi)時(shí)間了,所以選擇D盾。
3、將網(wǎng)站源碼下載到本地的一個(gè)文件夾內(nèi)。放哪都無(wú)所謂,一會(huì)好找就行。
4、下載D盾,并解壓,打開(kāi)。
記錄一次帝國(guó)CMS模板被木馬入侵后清理的過(guò)程,其他CMS類似【大佬勿噴】
5、自定義掃描(選中我們剛剛下載的源碼)
記錄一次帝國(guó)CMS模板被木馬入侵后清理的過(guò)程,其他CMS類似【大佬勿噴】
6、細(xì)觀察這個(gè)圖,上面第一列是木馬文件的路徑,級(jí)別越高,危害越大。后面有說(shuō)明。
記錄一次帝國(guó)CMS模板被木馬入侵后清理的過(guò)程,其他CMS類似【大佬勿噴】
對(duì)于已知后門,直接刪除
對(duì)于不確定的,我們可以拿帝國(guó)CMS源程序比對(duì)。
刪除完畢。
7、將本地文件打包上傳會(huì)網(wǎng)站。
8、清除模板中的快照劫持代碼
記錄一次帝國(guó)CMS模板被木馬入侵后清理的過(guò)程,其他CMS類似【大佬勿噴】
這個(gè)文件夾下面,大家自行檢查。里面如果有被放的代碼,可以直接清除或是拿原來(lái)的模板覆蓋。
對(duì)了,最后一步差點(diǎn)忘記了,記得去各個(gè)搜索引擎提交更新快照。怎么更新快照這邊就不繼續(xù)延展了,后面有時(shí)間再繼續(xù)。
以上就是網(wǎng)站入侵后清除木馬方法。下面講下清除木馬后或是未掛馬之前防范方法。
(1)建議修改后臺(tái)路徑,將e/admin修改成任意一個(gè)你喜歡的名字。
(2)修改默認(rèn)用戶名和密碼
(3)刪除e/install等不用文件夾
(3)網(wǎng)上下載的程序或者模板建議先好好檢查下
(4)不要被免費(fèi)的外殼所蒙蔽
(5)平時(shí)多總結(jié)經(jīng)驗(yàn),這樣才能防范于未然
以上,如果不更新的話,知道就建議可以將網(wǎng)站權(quán)限設(shè)為只讀!更安全!
