您好,欢迎访问本站博客!登录后台查看权限
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏吧
  • 网站所有资源均来自网络,如有侵权请联系站长删除!

如何解决dedecms DDOS挂马破绽

网站建设 wuyou387 2016-05-09 368 次浏览 0个评论




  近来俺的几个网站遭受了机房的严重警告,让我不虞的是,机房那面竟至说我的网站被挂马了,网站流量老是不断的往外发包,怎么也想不通,网站都安定运行了很多年了,从没遇到过被挂马这一说,于是我整整办公了三天三夜终于把问题的溯源找到达,也是本文的题目 "dedecms ddos挂马破绽的解决法子"所要讲的。下边我给大家详细的绍介一下我的解决法子,期望遇到这种情况的站长童鞋们,遇到这种问题也能迎刃而解。


  Dedecms是国内最有名的php开源系统,也是我用的最多的一个系统,简单实用安定是我使役了积年的理由,正因为dedecms的开源,也以致了众多黑客盯上了这个手续,没日没夜的研讨dedecms的破绽,也就在近来终于爆发了,众多dedecms的网站都被挂马了,有的被机房警告,重的被机房强行关站,数不胜数。我想说的是既是问题出现了我们就要去解决,只有解决了,你的网站才会长期安定进展下去。 首先从问题的特征跟大家一一绍介。


  被挂马的特征:敞开自个儿的网站首页,用查看源代码的形式会发现自个儿的网站被增加了千千万万的黑链代码,黑链代码是最简单也最能让站长们见得的,他无非就是友情链接的代码。


  再一个特征就是敞开网站会被360安全提醒网站存在挂马风险,这一类型的挂马代码,普通是框架代码还是是js代码还是是图片代码,还有个特征就是网站会骤然打不开还是敞开慢,查缉流量会发现自个儿占用了好些流量,也就是说流量往外发包的特征,也叫UDP 流量发包歼击。以上就是dedecms被挂马的大体特征,下边就讲点实际的,网站被挂马的解决法子和预防措施。


  首先把网站手续的代码下载到自个儿的本地,用sinesafe木马荡除工具检测了一下,发现data/cache/目次下有好些脚本木马,敞开木马脚本发现了一点不意识的PHP代码,把代码放到sinesafe木马工具里深度剖析了一下发现了木马特征,代码如次:


  <?php


  set_time_limit(984918);


  $host = $_GET['host'];


  $port = $_GET['port'];


  $exec_time = $_GET['time'];


  $Sendlen = 65535;


  $packets = 0;


  }


  echo "================================================<br>";


  echo " <font color=blue>www.phpddos.com<br>";


  echo " SYN Flood 板块<br>";


  echo " 笔者:ybhacker<br>";


  echo " 警告:本手续带有歼击性,仅供安全研讨与教学之用,风险自负!</font><br>";


  echo "================================================<br><br>";


  echo " 歼击包总额:<font color=Red><span class=\"text\">".$packets." 个数据包</span><br><br></font>";


  echo " 歼击总流量:<font color=Red><span class=\"text\">".round(($packets*65*8)/(1024*1024),2)." Mbps</span><br><br></font>";


  echo " 歼击总字节:<font color=Red><span class=\"text\">".time('h:i:s')." 字节</span><br><br></font>";


  echo "Packet complete at ".time('h:i:s')." with $packets (" .round(($packets*65*8)/(1024*1024),2). " Mbps) packets averaging ". round($packets/$exec_time, 2) . " packets/s \n";


  ?>


  我在网上查到这是udp流量歼击的php脚本木马,这个木马就是可以以网站脚本的权限运行就可以达到ddos 流量歼击的效果。无需服务器的权限,这我才了然过来为何机房说我网站一直都在往外发包,运行这个脚本的网站都会敞开潺缓,我的网站也在其中。既是找到达问题所在,那我就要开刀了,点击荡除木马代码,一下全都给荡除开。Data/cache/目次下已经没有陌生的文件名了。最终总结了一下分五个解决和预防措施。


  1 dedecms目次的安全设置:data/cache/ templets uploads 目次设置可读写,不可执行权限。include、member、plus设置可读 可执行 不可写权限,因为dedecms并没有任何地方使役存储的过程,故此可以禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。


  2网站手续安全:这也是最根本的防范,若是虚拟空间提议找专业做网站安全保护的来给做网站手续的安全,只有网站安全了能力带来安全安定的客户源。


  3手续的更新: 敞开dedecms后台看看有没有更新的补丁,假如有请趁早的更新和打补丁,假如自个儿的版本很老了,我提议从新安装新的版本,因为新的版本都是比较安全的,有众多地方和老版本的不同样。


  4后台管理目次:dedecms后台管理目次普通默认是dedecms,众多站长自来不屑这个后台地址,我很负责任的奉告大家,管理的目次地址若是默认的那你被挂马的几率那就是百分之百100.提议把目次的名称改成一点数码加字母符号组合的名称。


  5 FTP 网站管理密码: FTP密码和网站管理密码提议常常修改,因为众多黑客都在用暴力破解密码,把密码改的复杂些尽力夹杂着特别合乎和字母。


  以上就是我的解决法子和预防措施,道高一尺魔高一丈,实则解决问题是很欢乐的,当你解决掉问题的那一刹那,实则都不算啥子都只是小事而已,态度表决了一切。


已有 368 位网友参与,快来吐槽:

发表评论

站点统计