Dedecms网站被dns欺骗攻击黑客挂马怎么办？{dede：dsv}或者{dededinfo}的问题

自从dedecms爆发漏洞，到更新新系统后，过去了两个多月的时间了，依旧有很多使用dedecms的站长的网站被挂马入侵，这个说明就算是升级之后的dede程序依旧是存在一定的漏洞的。并且360网站安全检测也非常配合的将网站的漏洞暴露在黑客面前。为此黑客们无需花多少时间找寻可注入的路径，直接就可以通过漏洞提权拿站注入木马。 [caption id="attachment_12982" align="alignnone" width="150"] 360网站安全检测截图[/caption] 无忧小编这次所遇到就是DNS入侵。DNS入侵往往防不胜防，对此有很多站长也中招。网络端口全开，黑客一下子进入侵进来。如果你发现还好，否则不通过百度搜索引擎是查不出网站被入侵的。这年头，只有中招之后才知道网络安全的可贵，才开始重视网站防护。下面无忧小编说明下这个漏洞的详细信息。 1、DNS攻击定义（又称DNS欺骗）： 可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。 2、Dede被dns攻击后症状： 表现一般是首页跳转到其他不良信息页面，或者从百度过来的流量被劫持到其他网站。简单说，就是百度搜索的时候，点击百度收录的文章，但是打开的不是自己的网站，而是别人的网站。 还有一个特点用来判断，就是在dede的源代码中，会被黑客插入一个标签{dede:dsv/}或者{dede:dinfo/}，这个也是一个判断的标准。 3.、解决方法 第一步：首先一点修改主页模板(index.htm)，删除</head>后面的{dede:dsv/}或者{dede:dinfo/}这个调用标签。然后找到根目录/include/taglib/dsv.lib.php或者/include/taglib/dinfo.lib.php 进行删除，然后就可以发现网站已经恢复了。 第二步，查看自定义宏标记。路径：模板——>自定义宏标记。中了木马病毒的网站在这里会出现两个被黑客定义的宏标记，主要是对网站全局变量的控制。如下图我们删除所有的非自己自定义的宏标记，以免留下后门。 第三步：查看黑客怎么做到的，并进行防护。 以下是你必须要登录dede管理员后台要去检测复核一次的。 系统后台，用户组是否多了， 查看所有能添加变量 模块管理中是否多了东西， 频道模型， 自定义宏标记等等。（如下图） [caption id="attachment_12983" align="alignnone" width="150"] dedecms[/caption] 大多数情况下是plus 或者模板里面的asp或php木马，数据库里面对应的木马数据不删除，就算你删除了木马文件照样会重新生成。common.inc.php 文件也要多多留意，一般情况下 如果修改模板后仍然被改首页 有必要重新覆盖下这个文件。 上面是我对dede关于挂马和入侵的小小心得，如有兴趣还原加qq交流340555016  

本文地址：https://www.51php.com/dedecms/12981.html