织梦CMS(DedeCMS)作为一款广泛使用的开源内容管理系统,因其功能强大、使用方便而受到许多网站管理员的青睐,随着其普及程度的提高,织梦CMS也成为了黑客攻击的主要目标之一,以下是织梦漏洞可疑PHP文件/article文件夹的介绍:
1、常见可疑文件夹
article文件夹:在很多织梦系统网站的根目录中,经常被上传包含赌博静态违法HTML页面的article文件夹,这些页面通常是由于网站存在DEDECMS安全漏洞,被黑客利用上传木马病毒(webshell文件)获取控制权限后生成的。
木马文件特征:大部分木马文件伪装成正常文件,并以.php结尾,存在于plus、upload、include、dede、data(/data/cache/)等文件夹下,具体木马文件会因服务器不同而有所改变,需联系技术人员慎重处理。
2、可疑文件列表
| 可疑文件 | 说明 | |
| 根目录/1.php | 常见木马文件 | |
| 根目录/360scan.php | 伪装成扫描文件 | |
| 根目录/cmd.php | 命令执行文件 | |
| 根目录/inc001.php | 包含恶意代码的文件 | |
| 根目录/include/config.php | 配置文件篡改 | |
| 根目录/include/debe.php | 可疑配置文件 | |
| 根目录/include/dialog/select_config.php | 对话框选择配置 | |
| 根目录/include/inc/inc_fun_help.php | 帮助文件 | |
| 根目录/member/space/person/tokio.php | 会员空间文件 | |
| 根目录/plus/90sec.php | plus文件夹中的可疑文件 | |
| 根目录/plus/admin.php | 管理文件 | |
| 根目录/plus/bakup.php | 备份文件 | |
| 根目录/plus/checkinq.php | 检查文件 | |
| 根目录/plus/config.php | plus配置 | |
| 根目录/plus/digg.php | 挖掘文件 | |
| 根目录/plus/digg_ad.php | 广告挖掘 | |
| 根目录/plus/flink.php | 链接文件 | |
| 根目录/plus/gongsi.php | 公司文件 | |
| 根目录/plus/huoshen.php | 火神文件 | |
| 根目录/plus/inc_fun_newmin.php | 新功能帮助 | |
| 根目录/plus/inc_fun_newsmin.php | 新闻功能帮助 | |
| 根目录/plus/info.php | 信息文件 | |
| 根目录/plus/infor.php | 信息文件 | |
| 根目录/plus/kefu.php | 客服文件 | |
| 根目录/plus/mybak.php | 我的备份 | |
| 根目录/plus/service.php | 服务文件 | |
| 根目录/plus/system.php | 系统文件 | |
| 根目录/plus/tokio.php | tokio文件 | |
| 根目录/plus/views.php | 视图文件 | |
| 根目录/plus/zdqd.php | 调查文件 | |
| 根目录/uploads/userup/111.php | 用户上传文件 | |
| 根目录/uploads/userup/configh.php | 配置文件 | |
| 根目录/uploads/userup/data.php | 数据文件 | |
| 根目录/uploads/userup/newconf.php | 新配置文件 | |
| 根目录/uploads/userup/sys.php | 系统文件 | |
| 根目录/uploads/userup/sysinw.php | 系统内部文件 | |
| 根目录/uploads/userup/systmoem.php | 系统内存文件 | |
| 根目录/uploads/userup/sysw.php | 系统外部文件 | |
| 根目录/wisdom.php | 智慧文件 | |
| 根目录/xinwen/2010/0407/logo.php | 新闻Logo文件 | |
| 根目录/zinc.php | 锌文件 |
3、安全防护措施
禁止写入权限:对plus文件夹禁止写入权限,也可联系空间商或直接关闭执行、读取、写入权限,plus里的搜索文件search.php、在线订单diy.php、广告ad_js.php、下载download.php等功能未用到时可删除。
定期病毒扫描:登录网站后台进行病毒扫描,系统>>病毒扫描>>扫描,扫描后删除可疑文件,并清理缓存。
删除无用功能:如果网站没有用过会员功能,可以删除member文件夹;程序安装后删除install文件夹。
更新补丁包:更换DEDECMS免费程序或登录DEDECMS官网下载并升级最新补丁包,杜绝程序漏洞以防止后续黑客继续攻击。
4、常见问题解答
问题一:如何判断哪些PHP文件是可疑的?
回答:可以通过查看文件的修改时间和文件夹名称来确定是否为病毒文件,木马文件会伪装成正常文件并以.php结尾,存在于plus、upload、include、dede、data等文件夹下。
问题二:如何防止织梦CMS被黑客攻击?
回答:除了删除可疑文件外,还应采取以下措施:禁止写入权限、定期进行病毒扫描、删除未使用的会员功能和安装文件夹、及时更新补丁包等。
织梦CMS虽然功能强大,但其安全漏洞也不容忽视,通过了解常见的可疑文件夹和木马文件特征,采取有效的安全防护措施,可以大大降低网站被黑客攻击的风险,定期维护和更新程序也是确保网站安全的重要步骤。
织梦漏洞可疑PHP文件/article文件夹分析报告
背景信息
织梦(Dedecms)是一款广泛使用的开源内容管理系统(CMS),但由于其广泛的使用,导致漏洞被频繁发现,我们接到用户报告,发现其织梦站点根目录下存在一个可疑的PHP文件,文件名为article.php,且位于/article文件夹中。
可疑文件分析
1、文件名称:article.php
2、位置:/article文件夹
3、:初步检查发现,该PHP文件包含以下代码片段:
<?php
// 疑似后门代码
if (!defined('IN_QISHI')) {
die('Hacking attempt');
}
// ... 其他代码 ...
// 执行恶意操作
漏洞分析
1、后门特征:文件中的if (!defined('IN_QISHI')) { die('Hacking attempt'); }语句表明,该文件可能被用作后门,用于隐藏恶意代码。
2、潜在风险:该后门可能被用于以下恶意目的:
控制织梦站点,进行非法操作。
获取站点敏感信息,如用户数据、管理员密码等。
恶意篡改网站内容。
应对措施
1、隔离文件:立即将/article/article.php文件从服务器上删除,并隔离/article文件夹。
2、更新系统:确保织梦系统的版本是最新的,以修复已知的安全漏洞。
3、备份数据:在操作之前,请备份网站数据,以防万一。
4、安全检查:使用专业的安全工具对整个站点进行安全检查,确保没有其他安全漏洞。
5、密码更换:更换织梦站点的管理员密码和其他敏感账户密码。
此次发现的可疑PHP文件可能存在安全风险,建议用户立即采取上述措施,以确保网站安全,如需进一步的技术支持,请及时联系专业的网络安全服务提供商。
原创文章,作者:未希,如若转载,请注明出处:https://www.kdun.com/ask/1158278.html
