最近朋友的一個網站被掛了黑鏈,被叫去做技術支持= =!
簡單介紹一下具體情況:
訪問網站:www.xinsanwen.cn顯示的是黑鏈地址,通過審查元素可以清晰的看到這些被加密過的文件。如果你看不懂這些符號沒關系,我們可以通過JS機密基本看到一些信息。
記錄一次帝國CMS模板被木馬入侵后清理的過程,其他CMS類似【大佬勿噴】
記錄一次帝國CMS模板被木馬入侵后清理的過程,其他CMS類似【大佬勿噴】
可能很多小伙伴沒辦法審查元素,因為你一打開網址就跳轉走了,不要慌,知道君教你們一個簡單的辦法?!酒渌W站類似】
1、先隨便打開一個網址:我一般打開百度,鼠標右鍵查看源碼,然后把我們的域名復制過去就可以看到網站的html了。
記錄一次帝國CMS模板被木馬入侵后清理的過程,其他CMS類似【大佬勿噴】
記錄一次帝國CMS模板被木馬入侵后清理的過程,其他CMS類似【大佬勿噴】
2、把html中的快照劫持代碼清除,【像這種代碼,一般存在模板中】
記錄一次帝國CMS模板被木馬入侵后清理的過程,其他CMS類似【大佬勿噴】
有小伙伴可能覺得把這個刪除就OK了,那你就大錯特錯,刪除這里只是第一步,你還得繼續找到核心的木馬文件,這種后門文件可能是一個,也可能是N個,在不借助外來工具的情況下,我們就需要一步步一個個文件夾去查看。當然如果你有其他工具配合使用當然更好。我一般使用D盾,如果是像織夢這樣的文件比較少的我會直接找,但是今天我朋友這個是帝國的,文件稍微有點多,一個個找太費時間了,所以選擇D盾。
3、將網站源碼下載到本地的一個文件夾內。放哪都無所謂,一會好找就行。
4、下載D盾,并解壓,打開。
記錄一次帝國CMS模板被木馬入侵后清理的過程,其他CMS類似【大佬勿噴】
5、自定義掃描(選中我們剛剛下載的源碼)
記錄一次帝國CMS模板被木馬入侵后清理的過程,其他CMS類似【大佬勿噴】
6、細觀察這個圖,上面第一列是木馬文件的路徑,級別越高,危害越大。后面有說明。
記錄一次帝國CMS模板被木馬入侵后清理的過程,其他CMS類似【大佬勿噴】
對于已知后門,直接刪除
對于不確定的,我們可以拿帝國CMS源程序比對。
刪除完畢。
7、將本地文件打包上傳會網站。
8、清除模板中的快照劫持代碼
記錄一次帝國CMS模板被木馬入侵后清理的過程,其他CMS類似【大佬勿噴】
這個文件夾下面,大家自行檢查。里面如果有被放的代碼,可以直接清除或是拿原來的模板覆蓋。
對了,最后一步差點忘記了,記得去各個搜索引擎提交更新快照。怎么更新快照這邊就不繼續延展了,后面有時間再繼續。
以上就是網站入侵后清除木馬方法。下面講下清除木馬后或是未掛馬之前防范方法。
(1)建議修改后臺路徑,將e/admin修改成任意一個你喜歡的名字。
(2)修改默認用戶名和密碼
(3)刪除e/install等不用文件夾
(3)網上下載的程序或者模板建議先好好檢查下
(4)不要被免費的外殼所蒙蔽
(5)平時多總結經驗,這樣才能防范于未然
以上,如果不更新的話,知道就建議可以將網站權限設為只讀!更安全!