针对织梦内容管理系统频繁遭遇的安全问题,本文档分享了具体的排查和处理流程,包括木马样本分析、全盘扫描及批量删除等措施。
织梦内容管理系统(DedeCms)为大家广泛使用,同样关注织梦的骇客也不在少数,个人觉得织梦程序设计的称不上完美,相对Discuz来说差的很远,漏洞频出! 笔者在维护虚拟主机产品时经常会遇到织梦程序发包问题,有时一次能关闭20多个站点,现在就来分享下笔者的处理流程和一些心得,给同样做站点维护的朋友提供些素材。
故障说明:
隔段时间织梦总会被爆出漏洞,危害程度大小不一,这两天笔者维护的虚拟主机频频发包查找站点都是织梦的程序这几天关了不少站点,当然目的不是关站而是查找原因解决问题。
样本分析:
对于虚拟主机来说发现一个站点中木马发包很可能同主机其他站点也出现相同的问题,这时就要分析木马样本并及时删除。首先要从发包的那个站点发现木马文件,整站下载到本地用护卫神•云查杀系统查杀病毒文件,需要注意的是有的整个文件都是木马文件直接删除便可,但是还有些是嵌入的“一句话木马”删除该文件就会影响网站功能,这个最难搞即便用护卫神•挂马清理工具,无关紧要的文件就批量删,要么就用上面的挂马清理工具,实在不行就手动清理吧。
全盘扫描:
上边说过不要单单处理已经发现的那一个站点,你维护的可是虚拟主机上百个站点,其实50%的织梦程序都已经被挂马了,作为系统维护人员还是认真检查清理下才够明智,检测发现木马文件名字基本上都是相同的,使用命令全盘搜索该文件然后批量删除便可。
相关命令:
Linux:
木马样本:/plus/mybak.php
搜索命令:find /www/* -name “mybak.php”
删除命令:find /www/* -name “mybak.php” -exec rm {} \;
Windows:不多说了,举例我把所有网站都放在“D:\www”下,直接打开文件夹“www”在右上角的搜索框中搜索便可,是不是很方便!
另外想说的的是,骇客会利用漏洞上传不同名称的木马文件,每次站点发包我们都有要分析木马样本:名称、内容、破坏程度然后批量删除,但是最关键的是把漏洞补上,可惜的是织梦官方对此并不重视。
相关链接:
1、织梦安全设置:http://bbs.dedecms.com/488202.html
2、护卫神云查杀:http://www.huweishen.com/soft/kill
小醉才疏学浅那里不对的地方还请指教,可直接留言或进我爱IT技术百度贴吧进行讨论!
扫一扫
747
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
