织梦DedeCMS网站底部暗链/非法关键词清理与防护方案
问题原因
- 后门程序植入
- 黑客通过漏洞上传WebShell,在模板文件中插入恶意代码。
- 数据库被注入非法关键词或跳转脚本。
- 模板文件篡改
footer.htm等底部模板被添加隐藏链接(如<a style="display:none">)。- 通过
{dede:php}标签动态输出非法内容。
- 数据库污染
dede_archives等表被插入包含暗链的文章内容。- 系统配置表(如
dede_sysconfig)被修改为包含恶意跳转的URL。
- 权限配置不当
templets/目录权限过高(如777),导致文件被篡改。- 后台管理员账号使用弱密码,被暴力破解后植入恶意内容。
解决方法
| 步骤 | 操作说明 |
|---|---|
| 1. 清理模板文件 | 检查以下文件是否被篡改:<br> - /templets/default/footer.htm<br> - /templets/default/index.htm<br> 删除异常<script>或<iframe>标签 |
| 2. 扫描后门文件 | 使用工具(如D盾、河马查杀)扫描/include/、/data/等目录,删除可疑文件。 |
| 3. 修复数据库内容 | 执行SQL语句清理非法关键词:<br> UPDATE dede_archives SET body=REPLACE(body,'非法关键词','') |
| 4. 重置管理员密码 | 修改后台管理员密码为高强度组合(字母+数字+符号),并启用登录验证码。 |
| 5. 加固文件权限 | 执行命令:<br> chmod 644 /templets/default/*.htm<br> chmod 600 /data/common.inc.php |
注意事项
- 定期备份:每周备份
/templets/目录及数据库,确保可快速恢复。 - 文件校验:使用
md5sum命令校验核心文件(如/include/common.inc.php)的完整性。 - 日志监控:检查以下日志定位攻击来源:
- Web访问日志:
/var/log/nginx/access.log - 系统安全日志:
/var/log/secure
- Web访问日志:
- 安全防护:
- 安装WAF(如云锁、安全狗)拦截恶意请求
- 禁用危险函数:在
php.ini中设置disable_functions = exec,system,passthru
- 长期维护:
- 每季度更新DedeCMS至最新版本,修复已知漏洞
- 使用独立数据库账号,权限限制为
SELECT/INSERT/UPDATE/DELETE
通过以上步骤,可系统性清理暗链/非法关键词,并加固网站安全防护,避免问题复发。
更新时间:2025-04-17 10:02:55
上一篇:织梦DedeCMS后台频繁报错“Safe Alert: Request Error”排查与修复