最近好像有點(diǎn)少聽(tīng)見(jiàn)90sec病毒攻擊的了，不過(guò)在8、9月份，90sec病毒攻擊織夢(mèng)dedecms 網(wǎng)站很瘋狂，基本上一夜倒了一大片，本人維護(hù)的兩個(gè)公司織夢(mèng)dedecms 網(wǎng)站也沒(méi)有一個(gè)幸免。

以前以為不就是兩個(gè)公司的門(mén)戶網(wǎng)站嘛，應(yīng)該沒(méi)人會(huì)攻擊，就連漏洞補(bǔ)丁也懶得打，但是后來(lái)發(fā)現(xiàn)自己錯(cuò)了，徹底的錯(cuò)了。       先說(shuō)一下織夢(mèng)dedecms 網(wǎng)站的被攻擊經(jīng)過(guò)，8月22號(hào)site：www.xxxx.com 這個(gè)站的時(shí)候，發(fā)現(xiàn)百度收錄了一些黃賭毒的文章，感覺(jué)不對(duì)勁，這怎么回事？然后用ftp登錄看了下根目錄，然后發(fā)現(xiàn)根目錄被上傳了一個(gè)叫article的文件夾，里面有成千上萬(wàn)的關(guān)于黃賭毒的靜態(tài)頁(yè)面。       第一反應(yīng)就是織夢(mèng)dedecms 網(wǎng)站被黑了?？戳讼聀lus目錄下，有文件被修改了，（具體那個(gè)文件，時(shí)隔多時(shí)，忘了，不過(guò)被修改的文件，可以從日期中看出），并且還多了個(gè)90sec.php文件；在data/data/cache目錄下發(fā)現(xiàn)了幾個(gè)htm文件，myad-1.htm,myad-108.htm,mytag-1308.htm等文件，用殺毒軟件掃描，這些文件中有的是病毒。         等再過(guò)兩天，發(fā)現(xiàn)另一個(gè)企業(yè)站www.xxxx.com這個(gè)站也被黑了，到處都被掛滿了鏈接，那時(shí)候真想把黑站的人揪出來(lái)狂扁一頓，TM的太沒(méi)道德了，有本事就去黑國(guó)外的大站去，黑我們這些農(nóng)民站干嘛的？還讀什么書(shū)來(lái)的，這點(diǎn)道德也沒(méi)有。         沒(méi)辦法，不黑都已經(jīng)黑了，能怎么辦？發(fā)發(fā)牢騷后還是得找解救的方法，后來(lái)查了些資料，網(wǎng)上說(shuō)備份數(shù)據(jù)庫(kù)，網(wǎng)站搬家就可以完全的清除木馬病毒，于是就備份數(shù)據(jù)，重新上傳程序，刪除多余的文件。       但是，過(guò)幾天發(fā)現(xiàn)網(wǎng)站還是再次被黑進(jìn)來(lái)了，看看網(wǎng)上的朋友也是為此苦惱，于是想，多余的文件都刪除了，文件也是檢查沒(méi)毒后才上傳的，補(bǔ)丁也打了，要黑進(jìn)來(lái)沒(méi)這么容易啊，于是便想到了數(shù)據(jù)庫(kù)有問(wèn)題，肯定是數(shù)據(jù)庫(kù)被修改了，然后就算備份數(shù)據(jù)庫(kù)也是把修改的字段復(fù)制過(guò)來(lái)而已。沒(méi)辦法，為了解決問(wèn)題，只好再在網(wǎng)上找資料被。經(jīng)過(guò)地毯式的搜索，終于找到了。下面就說(shuō)一下整個(gè)清除90sec病毒的過(guò)程（方法不是我自己創(chuàng)出來(lái)的，而是我總結(jié)各位大蝦而組成的完整版的，希望大家勿噴。）      第一步（也可以放在網(wǎng)站搬家后做），這步很重要，如果這一步不做，那么，別的就等于白做了。先下載一個(gè)DedeCMS頑固木馬后門(mén)專(zhuān)殺工具 dedekillergbk.php  ,dede_killer.zip 這是以為大蝦自己編寫(xiě)的程序，叫什么就不清楚了，反正得感謝他。用法，上傳到網(wǎng)站根目錄，然后在谷歌瀏覽器中輸入網(wǎng)址/工具全名  如www.xxxx.com/dedekillergbk.php，然后點(diǎn)擊一鍵掃描，接著把可以的數(shù)據(jù)庫(kù)字段刪除行了，用完后可以直接在網(wǎng)站根目錄上刪除該工具（注：一定要用谷歌瀏覽器，不支持iE瀏覽器）。       接下來(lái)就是織夢(mèng)dedecms 網(wǎng)站搬家及刪除多余文件的過(guò)程了。

 基本上是摘錄網(wǎng)上已有的，要是大家知道這個(gè)過(guò)程就不用再看了。      織夢(mèng)dedecms 做的網(wǎng)站被掛馬了，真要找哪個(gè)文件被修改了，哪里藏有木馬文件，可能比較麻煩。建議大家備份數(shù)據(jù)，重新安裝織夢(mèng)dedecms ，并還原數(shù)據(jù)，然后做好安全設(shè)置，以防再次被掛。      可以按照如下步驟解決：   1、后臺(tái)備份數(shù)據(jù)，備份成功后打包整個(gè)網(wǎng)站數(shù)據(jù)，下載到本地電腦。切記！   2、安裝全新的dedecms系統(tǒng)，安裝完成后，登錄后臺(tái)。   3、上傳備份數(shù)據(jù)文件夾/data/backupdata，覆蓋到相應(yīng)的目錄。   4、后臺(tái)-恢復(fù)還原數(shù)據(jù)。到了這里，只是把數(shù)據(jù)恢復(fù)了。   5、上傳模板templets、附件資源uploads文件夾，覆蓋相應(yīng)的目錄。記得先檢查這些文件夾里，有沒(méi)有非dedecms原程序文件，比如0day木馬文件等。   6、做安全設(shè)置，限制目錄權(quán)限（參考：http://www.dedecms51.com/a/dedejq/1120.html）   7、刪除沒(méi)用的文件： 裝程序后一定要?jiǎng)h除install目錄; 修改dedecms默認(rèn)后臺(tái)目錄dede 刪除不需要的目錄和文件： /member/ /special/ /company/ /plus/guestbook /dede/file_manage_control.php /dede/file_manage_main.php /dede/file_manage_view.php /dede/media_add.php /dede/media_edit.php /dede/media_main.php /dede/sys_sql_query.php   /plus/download.php 只是使用文章功能，不需要下載，這個(gè)腳背文件也可以刪除   /plus/feedback.php 不使用dedecms評(píng)論功能，這個(gè)也可以刪除    織夢(mèng)程序plus目錄下還有很多功能腳本，不需要的腳本文件都可以刪除，什么時(shí)候需要了再上傳也可以的。

及時(shí)關(guān)注織夢(mèng)dedecms 官方通知，及時(shí)更新補(bǔ)丁。