问:
看网站昨天的访问日志,发现疑似木马文件,但按照这个路径我在data目录下没有看到这个木马php,请问是什么情况,这个路径 “//”是什么意思呢?谢谢
,查看网站访问日志 发现恶意上传木马
答:您好,这个应该是已经存在于网站内的后门,建议您先删除一下,//其实也是访问网站的根目录,比如http://www.weistang.com//index.php 也是可以请求到的,建议您使用护卫神:https://xxxxxxxx.xxxxx.xxxxx 下载后在服务器内扫描下网站的目录,会将可能的挂马检查出来,然后进行删除,操作后建议设置服务器站点的只读权限,谢谢。
问:感谢 这么晚还回复,这个我不太会操作,能否帮忙操作一下呢 谢谢
问:这个软件我直接在我电脑本地运行连到服务器就可以么
答:您好,可以在您本地运行选择远程查杀,需要填写网站的FTP信息,不过建议可以直接在服务器上下载运行,这个是个小工具,无需安装。
日志中已经有的挂马文件可以先删除一下,再使用护卫神云查杀 工具进行一次扫描,谢谢。
问:好的 在用ftp扫描,但总被云锁拦截 之后只有重启路由才能继续扫描,怎么暂时关闭云锁呢
答:您好,这种情况一般是频繁连接FTP造成的。您可参考http://faq.myhost.net/faq/listagent.asp?unid=2093 先在本地安装云锁的控制端,关闭一下防护再试试。也可在服务器内使用护卫神进行扫描,这样不会拦截,谢谢。
问:D:\\www\\2012ee\\www\\sort该目录下的文件夹里这段时间经常被上传非法文件。请问是怎么回事,服务器安全出了问题吗。一直出现违法文件
答:您好,这个建议查询下该站点最近的站点访问日志和ftp上传日志情况,一般是由于网站程序漏洞上传了木马文件导致.根据文件生成的时间查看对应时间点的日志内容.另外增加服务器网站安全,可以安装安全狗或云锁软件.
如果需要我司协助分析,将收费100元处理,非常感谢您长期对我司的支持!
问:收费没问题,请帮我找出问题所在并给出解决方法啊。收费请在余额里扣除。
问:另外有没有可能是服务器安全出了问题或者服务器有没有被安后门的情况存在
答:您好,已经核实查找到木马文件并清理.请再观察.
服务器方面我司核实检查并没有被黑迹象.非常感谢您长期对我司的支持!
问:那木马文件是通过司马途径被上传的?接下来是要做什么防止再被上传木马呢?网站的补丁也已经打了最新的补丁了。
答:您好,一般是通过程序漏洞写入的,具体通过什么位置,这个我司也无法查询.目前对该木马文件目录设置了只读权限,无法在写入或者修改该目录下的任何程序文件,非常感谢您长期对我司的支持!
问:云锁安装的时候需要开启telnet,安装完毕后需要关闭telnet吗?还是要一直开着。
答:您好,不需要关闭 ,
非常感谢您长期对我司的支持,谢谢!
问:继上次你们的排查以后,服务器也安装了云锁,但今天又被上传非法信息,你们的排查效果没有体现出来。
答:您好,云锁一直有防护效果,见截图,安装了云锁只是一定程度上增加安全防护,并不是说完全杜绝,您截图中说的目录具体是哪个路径有异常文件,请详细说明我司核实一下,非常感谢您长期对我司的支持!
问:D:\\www\\2012ee\\www\\sort\\daquan里面这个2018文件夹里全部是3月25号最新上传的非法文件,也就是在你们排查之后我安装的云锁后又出现的非法文件
问:
另外我用DEDE后台自带的病毒扫描出很多可以文件,但我看不懂PHP,无法确定是不是木马文件。
问:https://www.exehack.net/5099.html 。这篇文章是我在网上找到的关于dede后台漏洞的最新文章,不知道是不是问题所在。
答:您好,您的后台地址是http://www.2012ee.com/wangxuqiong_,目录不请是否是您程序相关的目录,您核实一下,若是不需要删除即可
已经参考您提供的教程将目录设置为只读了,同时织梦本身是开源的且漏洞较多,我司并非专业开发,也无法保证完全修复漏洞,非常感谢您长期对我司的支持!
问:文章里面提到的这两点修复方案是只要将该文件设置成只读就可以了吗,还有第二条说的过滤恶意标签是什么意思,也都是设置只读都可以解决的吗。另外我想问下之前云锁巡检都是巡检到一半就断开了是什么原因,服务器一共是五十几万的文件,每次都是巡检到十五万左右的文件就断开了,是服务器设置了什么造成的吗。
答:您好,过滤标签应该是写程序来过滤的,这个我司无法帮您完成,云锁巡检中断的问题我司并不清楚,建议您向官方咨询下,非常感谢您对我司支持!