请不要惊慌,按照以下步骤,您可以逐步排查并清除这些赌博广告,恢复网站的正常。
问题根源分析
这种情况的发生,根源几乎可以肯定是您的 DedeCMS(织梦)网站存在安全漏洞,黑客利用这些漏洞,获取了网站的管理权限,然后在您的网站上植入了赌博、色情等违法内容的代码。
这些恶意代码通常有以下几种形式:
- 页面挂马:在网站的
index.html、列表页、内容页等模板文件中,被插入了<iframe>或<script>标签,这些标签会从其他服务器加载赌博网站的内容。 - 数据库被篡改:黑客直接修改了数据库中的内容,比如在文章内容、栏目名称、网站标题等位置加入了赌博链接或关键词。
- 被黑链:在网站不显眼的位置(如页脚、评论区域)加入了指向赌博网站的隐藏链接,这些链接对普通访客不可见,但搜索引擎蜘蛛能抓取到,目的是提高赌博网站的排名。
- JS文件被挂马:网站引用的公共JS文件(如jQuery文件)被黑客替换,当用户访问网站时,会先加载这个被篡改的JS,再由JS动态加载赌博内容。
- 服务器被入侵:这是最严重的情况,黑客可能获取了您服务器的最高权限,不仅挂了您的站,还可能在服务器上种植了后门,可以随时再次入侵。
详细排查与清除步骤
请严格按照以下顺序操作,每一步操作前都建议备份。
第一步:立即隔离网站(止损)
这是最重要的一步,可以防止您的网站被搜索引擎标记为“危险网站”,并避免更多用户受害。
- 临时关闭网站:登录您的服务器/虚拟主机控制面板,将网站暂时关闭或设置一个维护页面。
- 检查搜索引擎状态:在百度、谷歌等搜索引擎中搜索
site:您的域名,查看是否被标记为“危险网站”或“网站存在风险”,如果被标记,需要后续向搜索引擎提交申诉。
第二步:排查并清除挂马代码
这是最核心的清理工作。
检查核心模板文件 这是最常见的挂马位置,请用代码编辑器(如 VS Code, Sublime Text, Notepad++)打开以下文件,仔细检查内容:
- 根目录下的
index.html /templets/default/目录下的所有.htm模板文件,index.htm(首页模板)list_article.htm(列表页模板)article_article.htm(文章内容页模板)search.htm(搜索页模板)footer.htm(页脚模板,容易被黑链)
重点查找以下特征:
<iframe>:查找形如<iframe src="http://xxxxx.com/xxx.html" width="0" height="0" style="display:none;"></iframe>的代码,它们通常被隐藏在页面中。- 可疑的
<script>:查找不是您自己添加的、来源不明的<script>标签,特别是那些src属性指向外部域名的脚本。 - 被篡改的文本:在文章标题、内容或栏目名称中,是否出现了“赌博”、“百家乐”、“棋牌”等关键词或链接。
处理方法:删除所有可疑的 <iframe> 和 <script> 代码,将篡改的文本恢复原状,确保文件内容是干净、正确的。
检查数据库 如果模板文件是干净的,但网站依然跳转,那么很可能是数据库被篡改了。
- 登录phpMyAdmin:您的虚拟主机控制面板通常提供此工具。
- 检查数据表:
dede_arctype:检查栏目名称和描述是否被篡改。dede_archives:检查文章标题、内容字段(body或body相关字段)是否被插入赌博链接。dede_admintype/dede_admintype:检查广告位是否被滥用。
- 处理方法:在phpMyAdmin中,使用“浏览”和“编辑”功能,找到被篡改的记录,删除恶意内容并恢复原状,如果数据量很大,可以使用SQL的
UPDATE和REPLACE命令批量替换,但要万分小心,操作前务必备份数据库!
检查公共JS文件
检查您网站引用的JS文件,特别是 /js/ 目录下的文件,以及模板中引用的jQuery等库文件。
- 用代码编辑器打开这些JS文件,检查开头或结尾是否有陌生的、被压缩过的代码。
- 处理方法:从织梦官方的、干净的源码包中,重新下载这些JS文件,覆盖您服务器上的文件。
第三步:检查并修复网站漏洞
清除代码只是治标,修复漏洞才是治本,否则,黑客很快会再次入侵。
检查文件权限 不正确的文件权限是黑客利用的常见入口,建议设置如下权限(请根据您的服务器环境调整):
- 目录:
755 - 文件:
644 - 重要配置文件(如
data/common.inc.php):606或644(取决于服务器环境,但不要设置为777)
您可以通过FTP/SFTP工具或服务器的SSH命令批量修改。
检查后台入口
织梦默认后台是 /dede/,为了安全,建议:
- 修改后台目录名:将
/dede/改成一个复杂的、不容易猜到的名字。 - 修改后台文件名:将
dede/login.php改名,例如改为mylogin.php。 - 修改后台管理员账号密码:使用一个包含大小写字母、数字和符号的强密码。
检查并更新织梦程序 您使用的织梦版本可能存在已知的未修复的安全漏洞。
- 下载最新版本:从织梦官方渠道下载最新的稳定版程序。
- 比对文件:使用
diff工具或 Beyond Compare 等文件比对工具,将您网站上的文件与官方新版本进行比对,找出被修改过的文件,然后用新版本的文件进行替换。注意: 替换前一定要备份您自己的修改文件(如模板、配置等)。
检查是否有“后门”文件 黑客为了方便再次入侵,通常会植入一个“后门”文件。
- 搜索可疑文件:在您的网站根目录下,搜索所有非织梦官方的文件,特别是那些以
.php但您不认识的文件,重点关注上传目录(/uploads/)和缓存目录(/data/)。 - 使用安全工具:可以使用一些专门的后门查杀工具(如 D盾安全卫士、安全狗等)进行扫描。
检查服务器环境 如果您的网站反复被挂马,可能是服务器本身也存在安全风险。
- 检查FTP密码:确保您的FTP密码是强密码,没有被盗。
- 检查服务器日志:查看服务器的访问日志和错误日志,寻找异常的访问行为。
- 联系主机商:如果您无法解决,强烈建议联系您的虚拟主机提供商或服务器管理员,请他们协助检查服务器安全。
预防措施
在完成修复后,请务必做好以下预防工作:
- 定期备份:养成定期备份网站文件和数据库的习惯,建议每周至少备份一次,并将备份文件保存在本地或云盘上,与服务器分离。
- 及时更新:关注织梦官方的更新动态,一旦有新版本发布,及时升级。
- 使用强密码:为网站后台、FTP、数据库设置足够复杂的密码,并定期更换。
- 安装安全插件:可以考虑安装一些织梦安全插件,它们可以帮助您监控文件修改、拦截恶意请求等。
- 限制后台登录IP:在服务器上设置防火墙规则,只允许您自己的IP地址访问织梦后台。
您的处理流程应该是:隔离 -> 清除代码 -> 修复漏洞 -> 加强预防,这个过程需要耐心和细心,如果您对技术不熟悉,寻求专业人员的帮助是最快、最安全的选择。
