最近朋友的一個網站被掛了黑鏈,被叫去做技術支持= =!
簡單介紹一下具體情況:
訪問網站:www.xinsanwen.cn顯示的是黑鏈地址,通過審查元素可以清晰的看到這些被加密過的文件。如果你看不懂這些符號沒關係,我們可以通過JS機密基本看到一些信息。
可能很多小夥伴沒辦法審查元素,因爲你一打開網址就跳轉走了,不要慌,知道君教你們一個簡單的辦法。【其他網站類似】
1、先隨便打開一個網址:我一般打開百度,鼠標右鍵查看源碼,然後把我們的域名複製過去就可以看到網站的html了。
2、把html中的快照劫持代碼清除,【像這種代碼,一般存在模板中】
有小夥伴可能覺得把這個刪除就OK了,那你就打錯特錯,刪除這裏只是第一步,你還得繼續找到核心的木馬文件,這種後門文件可能是一個,也可能是N個,在不借助外來工具的情況下,我們就需要一步步一個個文件夾去查看。當然如果你有其他工具配合使用當然更好。我一般使用D盾,如果是像織夢這樣的文件比較少的我會直接找,但是今天我朋友這個是帝國的,文件稍微有點多,一個個找太費時間了,所以選擇D盾。
3、將網站源碼下載到本地的一個文件夾內。放哪都無所謂,一會好找就行。
4、下載D盾,並解壓,打開。
5、自定義掃描(選中我們剛剛下載的源碼)
6、細觀察這個圖,上面第一列是木馬文件的路徑,級別越高,危害越大。後面有說明。
對於已知後門,直接刪除
對於不確定的,我們可以拿帝國CMS源程序比對。
刪除完畢。
7、將本地文件打包上傳會網站。
8、清除模板中的快照劫持代碼
這個文件夾下面,大家自行檢查。裏面如果有被放的代碼,可以直接清除或是拿原來的模板覆蓋。
對了,最後一步差點忘記了,記得去各個搜索引擎提交更新快照。怎麼更新快照這邊就不繼續延展了,後面有時間再繼續。
以上就是網站入侵後清除木馬方法。下面講下清除木馬後或是未掛馬之前防範方法。
(1)建議修改後臺路徑,將e/admin修改成任意一個你喜歡的名字。
(2)修改默認用戶名和密碼
(3)刪除e/install等不用文件夾
(3)網上下載的程序或者模板建議先好好檢查下
(4)不要被免費的外殼所矇蔽
(5)平時多總結經驗,這樣才能防範於未然
以上,如果不更新的話,知道就建議可以將網站權限設爲只讀!更安全!