织梦网站被黑,教你如何清楚90sec病毒完整版

先说一下网站的被攻击经过，8月22号site：www.speed-kongyun.com 这个站的时候，发现百度收录了一些黄赌毒的文章，感觉不对劲，这怎么回事？然后用ftp登录看了下根目录，然后发现根目录被上传了一个叫article的文件夹，里面有成千上万的关于黄赌毒的静态页面。

第一反应就是网站被黑了。看了下plus目录下，有文件被修改了，（具体那个文件，时隔多时，忘了，不过被修改的文件，可以从日期中看出），并且还多了个90sec.php文件；在data/data/cache目录下发现了几个htm文件，myad-1.htm,myad-108.htm,mytag-1308.htm等文件，用杀毒软件扫描，这些文件中有的是病毒。

等再过两天，发现另一个企业站www.szkongyun.com这个站也被黑了，到处都被挂满了链接，那时候真想把黑站的人揪出来狂扁一顿，TM的太没道德了，有本事就去黑国外的大站去，黑我们这些农民站干嘛的？还读什么书来的，这点道德也没有。

没办法，不黑都已经黑了，能怎么办？发发牢骚后还是得找解救的方法，后来查了些资料，网上说备份数据库，网站搬家就可以完全的清除木马病毒，于是就备份数据，重新上传程序，删除多余的文件。

但是，过几天发现网站还是再次被黑进来了，看看网上的朋友也是为此苦恼，于是想，多余的文件都删除了，文件也是检查没毒后才上传的，补丁也打了，要黑进来没这么容易啊，于是便想到了数据库有问题，肯定是数据库被修改了，然后就算备份数据库也是把修改的字段复制过来而已。没办法，为了解决问题，只好再在网上找资料被。经过地毯式的搜索，终于找到了。下面就说一下整个清除90sec病毒的过程（方法不是我自己创出来的，而是我总结各位大虾而组成的完整版的，希望大家勿喷。）

第一步（也可以放在网站搬家后做），这步很重要，如果这一步不做，那么，别的就等于白做了。先下载一个DedeCMS顽固木马后门专杀工具 dedekillergbk.php 下载地址：http://zhanzhang.anquan.org/static/download/dede_killer.zip 这是以为大虾自己编写的程序，叫什么就不清楚了，反正得感谢他。用法，上传到网站根目录，然后在谷歌浏览器中输入网址/工具全名 如www.xxx.com/dedekillergbk.php，然后点击一键扫描，接着把可以的数据库字段删除行了，用完后可以直接在网站根目录上删除该工具（注：一定要用谷歌浏览器，不支持iE浏览器）。

接下来就是网站搬家及删除多余文件的过程了。基本上是摘录网上已有的，要是大家知道这个过程就不用再看了。

DedeCMS做的网站被挂马了，真要找哪个文件被修改了，哪里藏有木马文件，可能比较麻烦。建议大家备份数据，重新安装dedecms系统，并还原数据，然后做好安全设置，以防再次被挂。

可以按照如下步骤解决：

 

1、后台备份数据，备份成功后打包整个网站数据，下载到本地电脑。切记！

 

2、安装全新的dedecms系统，安装完成后，登录后台。

 

3、上传备份数据文件夹/data/backupdata，覆盖到相应的目录。

 

4、后台-恢复还原数据。到了这里，只是把数据恢复了。

 

5、上传模板templets、附件资源uploads文件夹，覆盖相应的目录。记得先检查这些文件夹里，有没有非dedecms原程序文件，比如0day木马文件等。

 

6、做安全设置，限制目录权限（参考：http://www.dedecms8.com/dedecms/use/1998.html）

 

7、删除没用的文件：

装程序后一定要删除install目录;

修改dedecms默认后台目录dede

删除不需要的目录和文件：

/member/

/special/

/company/

/plus/guestbook

/dede/file_manage_control.php

/dede/file_manage_main.php

/dede/file_manage_view.php

/dede/media_add.php

/dede/media_edit.php

/dede/media_main.php

/dede/sys_sql_query.php

/plus/download.php 只是使用文章功能，不需要下载，这个脚背文件也可以删除

/plus/feedback.php 不使用dedecms评论功能，这个也可以删除

织梦程序plus目录下还有很多功能脚本，不需要的脚本文件都可以删除，什么时候需要了再上传也可以的。及时关注dedecms官方通知，及时更新补丁