陆续接了几个客户和非客户的故障,使用程序有帝国CMS有其他CMS,问题均是首页index.html被修改了TDK,症状是访问首页就跳转到其他的非法站点。
问题简述:
登录客户服务器和网站后台,云查杀木马,发现没有可疑PHP,后台数据库模板无任何被修改的记录,初步判断只修改了index.html。后台更新首页,或者手工改动index.html为正常文件,然后服务器硬抓包监听,3个小时候回来查看,按照修改日期,发现文件在1小时之前被修改,没有抓到任何提交过程。说明不是从网站提交过来的。是系统级的修改。确定为服务器感染事件。本着一切小心的态度,重新安装服务器系统,恢复备份,就在这时发现问题了:刚装完系统win2008纯净无环境版本,发现装的防火墙(ARP狗)报告了ARP欺骗警告。安装IIS后,建立一个空网站,里面只放一个index.html,发现被修改。于是联系空间商,空间商协助排查,发现是机房ARP蠕虫,空间商修复解决!
还有一个实例,也是首页被改,但是其他PHP文件都被插入了一条一句话木马。所有目录和PHP基本都被修改了,目录里多了很多未知文件,服务器进程不正常。毫无疑问是中毒了。追查来源是因为另一个站使用了一个来源不明的插件导致跨站上传了木马。
为了保证网站安全,请尽量做好服务器安全,LIUNX环境是首选,WIN的服务器做好升级,网站目录权限要做好,避免跨站攻击,一个站出问题所有站出问题。不要服务器上运行软件,尽可能的安装一些防护软件,比如云锁,安全狗等。定期使用PHP云查杀等软件扫描木马。最后重要一点,定时做好网站和数据库备份工作,多日期版本备份。
自查方法:
检查首页文件index.html如果有下列代码的,请继续往下看:
继续登录后台,查看你的首页模板(后台-模板-首页模板 或者 后台-模板-列表模板-首页列表模板)如果没有上述代码,基本可以认定为服务器感染,解决方法如下:
1.删除空间里所有index.html和index_xx.html和index.php(如果有)等文件,重新后台更新首页。删除帝国安装目录(/e/install/)或者改名 清理浏览器缓存,再次检查文件内有没有上述恶意代码。
2.自查服务器安全和文件代码安全,请做好服务器安全,和下载全部文件用云查杀(百度搜:护卫神·云查杀系统)软件进行一次查杀,此过程如果客户无法自行处理或者需要深度检测处理,可以联系墨鱼收费处理,一般每站100元劳务费用!
重点:
如何最大化的确保帝国CMS站点的安全?
1.删除或者改名帝国CMS安装文件夹/e/install/文件夹!
2.改名帝国CMS后台登录文件夹/e/admin/中的admin为其他名字!
3.后台系统设置-基本属性-关闭前台模块相关功能,关闭不用的模块!比如投稿、反馈、留言、错误报告这些前台提交模块!
4.后台系统设置-用户设置,会员空间关闭。注册需要验证码开启!
本文地址:https://www.moyublog.com/notes/720.html
加入我们:微信:搜索“Moyu-Blog” 帝国CMS模板客户群:QQ二群---909235407 QQ一群(已满)---106997031
版权声明:本文采用[BY-NC-SA]协议进行授权,如无特别说明,转载请注明本文地址!