DEDECMS网站被挂马了,附上我的处理办法和步骤
Written by 热门榜 on 2008-06-03 – 7:39 pm -小站使用最新的DEDECMD 5.1 UTF8版,服务器是FREEBSD版,按理说应该很安全,但不幸的事终于发生了。
今天上线发现网站被挂马,用IE浏览器一打开就网站,诺顿就提示病毒,杀都杀不掉:
病毒名称为:Infostealer.Gampass,具体会造成什么破坏自己去搜索一下。
我的处理方法如下:
1、换成FIREFOX进入后台,关闭网站,不能再害人;
2、使用FTP工具打开中毒的首页,查看源文件,查找异常的代码,如常见的IFRAME、JS,结果一无所获
3、使用FTP工具查看网站目录和文件的更改日期,找到了挂马者的马脚,/include/dedeajax2.js 修改日期为6月2号(即昨天),这样文件,我从来没有改动过。
4、把该文件下载下来,与原版的DEDE文件比对,结果发现多了一行JS代码,具体不写了,免得拿去害人
5、用原始文件替换改文件,打开网站,已经恢复正常
6、更改FTP密码和管理员密码,清理系统帐户,让垃圾不再有机可乘
顺便公布一下这垃圾的信息:
垃圾来自div-class.cn
域名注册信息:
域名 div-class.cn
域名状态 clientTransferProhibited
注册者 韩霞
域名联系人 韩霞
管理联系人电子邮件 vx2199@gmail.com
所属注册商 广东时代互联科技有限公司
DNS服务器 ns3.dnspod.net
DNS服务器 ns4.dnspod.net
注册日期 2008-02-05 07:52
过期日期 2009-02-05 07:52
有兴趣的朋友可以去查一下这个站的ALEXA排名
Tags: DEDECMS, FIREFOX, FTP, IFRAME, Infostealer.Gampass, JS, 办法, 挂马, 步骤, 病毒
Posted in IT-互联网, 新闻 |
