小白必看|記錄一次帝國CMS模板被木馬入侵后清理的過程，其他CMS類似【大佬們

時(shí)間：2023-06-09 21:57:01 | 來源：網(wǎng)站運(yùn)營

時(shí)間：2023-06-09 21:57:01 來源：網(wǎng)站運(yùn)營

小白必看|記錄一次帝國CMS模板被木馬入侵后清理的過程，其他CMS類似【大佬們勿噴】：最近朋友的一個(gè)網(wǎng)站被掛了黑鏈，被叫去做技術(shù)支持= =!

簡單介紹一下具體情況：

訪問網(wǎng)站:www.xinsanwen.cn顯示的是黑鏈地址，通過審查元素可以清晰的看到這些被加密過的文件。如果你看不懂這些符號(hào)沒關(guān)系，我們可以通過JS機(jī)密基本看到一些信息。













可能很多小伙伴沒辦法審查元素，因?yàn)槟阋淮蜷_網(wǎng)址就跳轉(zhuǎn)走了，不要慌，知道君教你們一個(gè)簡單的辦法?！酒渌W(wǎng)站類似】

1、先隨便打開一個(gè)網(wǎng)址：我一般打開百度，鼠標(biāo)右鍵查看源碼，然后把我們的域名復(fù)制過去就可以看到網(wǎng)站的html了。













2、把html中的快照劫持代碼清除，【像這種代碼，一般存在模板中】







有小伙伴可能覺得把這個(gè)刪除就OK了，那你就大錯(cuò)特錯(cuò)，刪除這里只是第一步，你還得繼續(xù)找到核心的木馬文件，這種后門文件可能是一個(gè)，也可能是N個(gè)，在不借助外來工具的情況下，我們就需要一步步一個(gè)個(gè)文件夾去查看。當(dāng)然如果你有其他工具配合使用當(dāng)然更好。我一般使用D盾，如果是像織夢這樣的文件比較少的我會(huì)直接找，但是今天我朋友這個(gè)是帝國的，文件稍微有點(diǎn)多，一個(gè)個(gè)找太費(fèi)時(shí)間了，所以選擇D盾。

3、將網(wǎng)站源碼下載到本地的一個(gè)文件夾內(nèi)。放哪都無所謂，一會(huì)好找就行。

4、下載D盾，并解壓，打開。







5、自定義掃描（選中我們剛剛下載的源碼）







6、細(xì)觀察這個(gè)圖，上面第一列是木馬文件的路徑，級別越高，危害越大。后面有說明。







對于已知后門，直接刪除

對于不確定的，我們可以拿帝國CMS源程序比對。

1級提示最好查看源代碼在進(jìn)行處理【新睿大佬友情提醒】

刪除完畢。

7、將本地文件打包上傳會(huì)網(wǎng)站。

8、清除模板中的快照劫持代碼







這個(gè)文件夾下面，大家自行檢查。里面如果有被放的代碼，可以直接清除或是拿原來的模板覆蓋。

對了，最后一步差點(diǎn)忘記了，記得去各個(gè)搜索引擎提交更新快照。怎么更新快照這邊就不繼續(xù)延展了，后面有時(shí)間再繼續(xù)。

以上就是網(wǎng)站入侵后清除木馬方法。下面講下清除木馬后或是未掛馬之前防范方法。

（1）建議修改后臺(tái)路徑，將e/admin修改成任意一個(gè)你喜歡的名字。

（2）修改默認(rèn)用戶名和密碼

（3）刪除e/install等不用文件夾

（3）網(wǎng)上下載的程序或者模板建議先好好檢查下

（4）不要被免費(fèi)的外殼所蒙蔽

（5）平時(shí)多總結(jié)經(jīng)驗(yàn)，這樣才能防范于未然

以上，如果不更新的話，知道就建議可以將網(wǎng)站權(quán)限設(shè)為只讀！更安全！