按步骤检查:
后台增加了service管理员,有的管理员被修改为spider,你登录提示用户名不存在。
根目录下增加了asdd.php文件。
plus下一堆不明文件,90sec.php,service.php
根目录下增加了article目录,里面增加了木马生成的一堆赌博网页。
清理方法:
1、删除增加的管理员:service
2、删除根目录的asdd.php
3、删除plus下的download.php,mytag_js.php90sec.php,service.php,vliw.php,vuew.php,digg.php,xiao.php,bakup.php等可疑文件。
4、织梦程序后台病毒扫描都会出现一个plus/90sec.php的文件,得每天删除,可是删除了,第二天就又出现了?可以能是getshell了,可以在后台->模板->自定义宏标记中删除其中的条目之后可以升级下include/dedesql.class.php文件即可.
5、chmod -R 555 xxxx*****/plus,给plus只读权限
6、删除data/cache/mytag-9013.htm 这种类型的所有htm文件,删除tplcache的缓存文件。
7、数据库要清空dede_mytag表。
最后备份数据,保险起见,重装下程序吧,漏洞出来N天了,DEDE官方也没见说法,以上综合于网络。
临时补丁:
不知道别的地方还有没有覆盖变量 反正这个漏洞是修复的 试了下 貌似不影响网站运行
include/dedesql.class.php
if(isset($GLOBALS['arrs1'])) { $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { // $v2 .= chr($arrs2[$i]); //注释这里 } $GLOBALS[$v1] .= $v2; }
---------------------------------------------分界线---------------------------------------------------
如果遇到网站描述被添加QQ,可以查看index.php是否被黑,可以直接删除进行测试。
---------------------------------------------分界线---------------------------------------------------
打开plus文件夹
留下这么几个文件,其他全部删除!
网友留言: