自從dedecms爆發(fā)漏洞，到更新新系統(tǒng)后，過去了兩個(gè)多月的時(shí)間了，依舊有很多使用dedecms的站長的網(wǎng)站被掛馬入侵，這個(gè)說明就算是升級(jí)之后的dede程序依舊是存在一定的漏洞的。并且360網(wǎng)站安全檢測(cè)也非常配合的將網(wǎng)站的漏洞暴露在黑客面前。為此黑客們無需花多少時(shí)間找尋可注入的路徑，直接就可以通過漏洞提權(quán)拿站注入木馬。 [caption id="attachment_12982" align="alignnone" width="150"] 360網(wǎng)站安全檢測(cè)截圖[/caption] 無憂小編這次所遇到就是DNS入侵。DNS入侵往往防不勝防，對(duì)此有很多站長也中招。網(wǎng)絡(luò)端口全開，黑客一下子進(jìn)入侵進(jìn)來。如果你發(fā)現(xiàn)還好，否則不通過百度搜索引擎是查不出網(wǎng)站被入侵的。這年頭，只有中招之后才知道網(wǎng)絡(luò)安全的可貴，才開始重視網(wǎng)站防護(hù)。下面無憂小編說明下這個(gè)漏洞的詳細(xì)信息。 1、DNS攻擊定義（又稱DNS欺騙）： 可以冒充域名服務(wù)器，然后把查詢的IP地址設(shè)為攻擊者的IP地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁，而不是用戶想要取得的網(wǎng)站的主頁了，這就是DNS欺騙的基本原理。DNS欺騙其實(shí)并不是真的“黑掉”了對(duì)方的網(wǎng)站，而是冒名頂替、招搖撞騙罷了。 2、Dede被dns攻擊后癥狀： 表現(xiàn)一般是首頁跳轉(zhuǎn)到其他不良信息頁面，或者從百度過來的流量被劫持到其他網(wǎng)站。簡單說，就是百度搜索的時(shí)候，點(diǎn)擊百度收錄的文章，但是打開的不是自己的網(wǎng)站，而是別人的網(wǎng)站。 還有一個(gè)特點(diǎn)用來判斷，就是在dede的源代碼中，會(huì)被黑客插入一個(gè)標(biāo)簽{dede:dsv/}或者{dede:dinfo/}，這個(gè)也是一個(gè)判斷的標(biāo)準(zhǔn)。 3.、解決方法 第一步：首先一點(diǎn)修改主頁模板(index.htm)，刪除</head>后面的{dede:dsv/}或者{dede:dinfo/}這個(gè)調(diào)用標(biāo)簽。然后找到根目錄/include/taglib/dsv.lib.php或者/include/taglib/dinfo.lib.php 進(jìn)行刪除，然后就可以發(fā)現(xiàn)網(wǎng)站已經(jīng)恢復(fù)了。 第二步，查看自定義宏標(biāo)記。路徑：模板——>自定義宏標(biāo)記。中了木馬病毒的網(wǎng)站在這里會(huì)出現(xiàn)兩個(gè)被黑客定義的宏標(biāo)記，主要是對(duì)網(wǎng)站全局變量的控制。如下圖我們刪除所有的非自己自定義的宏標(biāo)記，以免留下后門。 第三步：查看黑客怎么做到的，并進(jìn)行防護(hù)。 以下是你必須要登錄dede管理員后臺(tái)要去檢測(cè)復(fù)核一次的。 系統(tǒng)后臺(tái)，用戶組是否多了， 查看所有能添加變量 模塊管理中是否多了東西， 頻道模型， 自定義宏標(biāo)記等等。（如下圖） [caption id="attachment_12983" align="alignnone" width="150"] dedecms[/caption] 大多數(shù)情況下是plus 或者模板里面的asp或php木馬，數(shù)據(jù)庫里面對(duì)應(yīng)的木馬數(shù)據(jù)不刪除，就算你刪除了木馬文件照樣會(huì)重新生成。common.inc.php 文件也要多多留意，一般情況下 如果修改模板后仍然被改首頁 有必要重新覆蓋下這個(gè)文件。 上面是我對(duì)dede關(guān)于掛馬和入侵的小小心得，如有興趣還原加qq交流340555016  

本文地址：http://www.gle-technology.com/dedecms/12981.html