dedecms被黑怎么办

dedecms被黑怎么办

如果您的网站被入侵，并被上传了后门文件，一般可能不只1个后门，可能有很多后门文件，并且会伪装成正常文件，想要清除，一般可以通过查杀后门的方法清除原程序中的病毒文件，此方法耗费时间较长，并难免有遗漏。

　　本文介绍的方法思路为：仅保留绝对安全的内容，用全新安全的程序文件覆盖线上程序，可以最大程度防止后门残留，让网站全新如初。此思路可通用大多数程序，如dz等。

一、备份被入侵的站目录中的文件，备份数据库（以保留证据、数据）

　　先备份再操作，超级重要！！！

　　通过压缩打包的方式备份程序文件，再通过phpmyadmin备份数据库存为sql文件，备份数据以防误操作后丢失数据。

　　再次提示，↑↑↑ 此步操作，超级重要！

　　------以下是dedecms被入侵后的快速恢复步骤------

二、下载全新的织梦程序，并解压在本地，做初步安全处理

　　到织梦官方下载全新的程序包：http://www.dedecms.com/products/dedecms/downloads/ ，请注意对应的编码版本，推荐使用UTF-8版本，兼容性更强。

　　1、删除以下文件夹：/member 、/special、/install，/templets/default （如果你需要会员功能，可以保留 /member 目录）。

　　2、/plus 文件夹只保留以下内容： /plus/img 、/plus/count.php、 /plus/diy.php、 /plus/list.php、/plus/search.php、/plus/view.php，除此之外的全部删除。

　　3、把 /dede 文件夹改名，这是后台登录地址，改为只有你知道的名字。

三、恢复数据库连接文件、恢复模板和上传的图片文件

　　从你的备份包中找到以下文件，合并到上一步的文件夹中，注意位置和名称要一一对应的覆盖。

　　1、复制 /data/common.inc.php 到程序包中覆盖。这是数据库连接信息

　　2、复制 /data/config.cache.inc.php 到程序包中覆盖。这是站点配置缓存，检查一下这个文件中的内容文字是否被修改过

　　以下目录需要先做安全处理：查找目录中是否存在php，asp等文件，如果有就删除掉。也可以使用安全扫描软件，如D盾、安全狗等扫描一下是否存在后门文件。

　　3、复制 模板及相关css、js文件： /templets/模板文件夹、/style 、/css、/layout、/static  等等，根据你的模板实际情况

　　4、复制 /uploads 到程序包中覆盖。这是上传的图片、附件等。

　　以下可能是非必须的：

　　5、复制 /include/extend.func.php 到程序包中覆盖 。这是自定义的函数，如果没有二次开发，这个文件可以跳过

　　6、其他你曾经二次开发、修改过的文件

四、覆盖原站

　　1、清空线上站的所有文件（建议先停止网站再清空）

　　2、用FTP将这个合并后的程序文件包上传到你的主机空间，这个步骤你应该都会了

　　上传完毕，你的站就恢复完成了。

　　此方法要点：

　　1、利用全新程序替换被入侵的程序

　　2、新程序连接上原数据库。

　　3、恢复后，请登录后台，检查有没有陌生的管理员账号，同时修改自己的管理员账号密码。

五、织梦的安全防范

　　1、织梦的漏洞大多来自它的插件部分（plus），通过禁止plus等目录的写入，可以杜绝大部分入侵。具体方法可以参见本站另外一篇文章《织梦cms安全设置指南》https://www.think3.cc/?id=5

　　2、waf防火墙：一般被入侵，都是通过扫描上述有安全隐患的位置，达到上传后门的目的。大多waf可以阻挡这类扫描，如nginx/apache的请求过滤、安全狗iis版等。

　　3、程序目录权限：大多入侵都是需要先向你服务器写入新的木马文件、并访问执行这个文件，从而达到修改整站的目的。严格设置目录写入权限，严格设置目录的可执行权限，也可以有效防御大多数入侵。

　　如：在nginx中，可通过伪静态规则限制上传目录执行程序

PHP
location ~* ^/(a|data|templets|uploads|style|css|js|static|layout|assets|cache)/.*\.(php|php5|asp|jsp|aspx|py)$ {
deny all;
}

更多dedecms技术文章，请访问dedecms使用教程栏目！

以上是dedecms被黑怎么办的详细内容。更多信息请关注PHP中文网其他相关文章！