关于近期挂马的排查方法和处理办法与安全设置。

空气中的鱼儿

由于近期个别用户发现被挂马，主要表现为手机端访问会跳转到广告页面。

1.检查是否被挂马，首先手机访问一下网站在排除本人挂的广告除外看看是否有其他类型广告或者跳转到其他广告页面等。

2.检查网站目录:\uploads\tv\ 入口文件在public下检查\public\uploads\tv\ 目录查看是否有近期创建的日期文件目录，并点击进入目录插件是否存在.php文件
如果存在.php文件那么说明已经被注入漏洞，已被入侵。

下面为处理方法：

删除被挂马的文件，然后检查模板JS是否有挂入广告代码

模板js一般存放在\public\tpl\下面模板名称文件下下js目录中然后对比我们提供的模板的JS如果存在不同那么说明被改动过。
或者打开你网站鼠标右键查看网页源代码找到<script src=""></script>就能找到模板使用的JS路径。

其他模板可以直接用发你的模板覆盖所有的JS


模板12 13因为有授权所以 排查模板12 \public\tpl\zanpiancms12\js\system.js 模板13 \public\tpl\zanpiancms13\js\system.js
排查看是否有 嫌疑代码  其他的JS可以直接覆盖，如果你有我们发你的授权的模板那直接全部JS覆盖





最后为了网站更加安全我们建议删除程序使用我们提供的程序包重新覆盖。


具体操作

目录开始 删除除去（runtime tpl uploads(图片没有本地化可以删除) 入口部署在public那么就是/public/uploads/目录切记)  的所有文件和文件夹

然后上传我们的默认程序  （切记先删除程序中的runtime目录）后在上传否则会覆盖数据库连接文件和网站配置文件。




没有100%安全的程序，所以除了程序自生外，我们还应该配合服务器环境的目录权限设置来提高网站的安全性。


设置网站目录权限查考文档图文教程


https://www.kancloud.cn/zxiaoyu/zanpiancmsv9/1059210


按照文档设置好拒绝执行PHP目录后 可以下载下面文件解压后放到你设置禁止执行PHP目录中然后用网站访问 如果访问显示phpinfo信息那么说明没有设置成功如果访问显示404那么说明设置成功

phpinfo.zip (179 Bytes, 下载次数: 140)

2022-4-14 21:21 上传

点击文件名下载附件