skip to Main Content

KesionCMS V7.0黑链删除、挂马清理和漏洞修复方案

问题状况:

我的一份兼职,一个不重要的企业网站被挂黑链,不是重点网站,但黑链还是要删的。
检查公司其它网站,都没有被挂。

其中一半是雨伞类的黑链,另一半是传奇私服。雨伞推广的二级域名居然有一个是黑的站。雨伞挂黑链多数情况是买的,如果想查可以顺着这个雨伞阿里巴巴国际站去追查黑手。


解决方法:

1,改了后台路径了

2,简单的方法是:把index.html 删了,后台重新生成下就好了

3,黑客的木马在wap文件夹下面,已被删

防范措施:

把网站备份下 然后网站后台只留一个管理员帐号,密码改复杂点。网站ftp把密码改复杂点,最好是有特殊符号@#之类 然后 去空间控制面板,网站退出后台或者不进入后台把空间里面文件全部禁止写入权限功能。如果你网站需要进入后台在开启写入权限。其中KS_Data文件夹打开写入权限 UploadFiles取消执行权限

解决过程:

 

第一步:删除黑链

ftp进入,发现首页文件无法编辑,想在ftp里直接编辑,显示这样:

index.html和index.asp提示不是0,下载出来文件大小却为0,没内容。其它文件都能下载,排除了空间禁止下载。第一种可能是网站程序出了问题,第二种可能是挂黑链的人技术很高,挂链之后还禁止下载和编辑。

后台 —模板管理 —首页文件,没有黑链文本。

后台 —标签 —自定义静态标签,能看到一句话木马,有个hack1990的文件:

一句话删了黑链还在,所以还是要想办法删首页文件里的黑链文本。
网站备份好像没有,因此无法用备份文件恢复首页。
/wwwroot/下面的首页文件是33k,ftp下载就是0k,空的,估计有程序在控制,ftp服务器可以设置让不让下载, 如果真是被黑客故意不让删,那就很难弄了。
主机商客服一直不在线,不知道有没有控制面板来进入查看。
应该是入侵者故意 不让管理员修改首页文件,是程序保护的。

第二步:删除一句话

后台 设置—在线检测木马

扫描:以下扩展名的文件将被直接删除:cdx,asa,cer


 

三个疑点,没法在扫描结果中删除:

第一个是空白文件,却提示“CreateObject函数使用了变形技术,仔细复查”。我就不知道了。

后面两个jpg是莫名其妙的美女图片,我怀疑木马伪装成jpg,ftp进入,顺着路径居然找不到,文件夹里没有其它任何美女图片。创建/修改时间是2013-3-1

 

科讯系统我不熟悉,除了这三个文件之外,我肉眼看不出可疑asp文件。

第三步:修复漏洞

KesionCMS漏洞非常多, 搜KesionCMS V7.0在一些文章里看到hack1990的水印,进他网站看了一下,科讯 KesionCMS 8.0 9.0都有漏洞,是升级到最新,还是修复KesionCMS V7.0的漏洞呢?

结束语:

文章最后要说明一下,“解决方法”和“防范措施”是别人给的。老衲技术太low解决不了,然后淘宝上找人搞的,漏洞修复的具体方法那兄弟不愿意多说。所以这篇文章只是标题党。老衲思路广阔但技术底子太差。

 

梦千寻 2015年7月28日

 

2015年7月30日 补充:

研究了一下这个网站的框架,发现首页文件不是index,在/xxxxx/wwwroot/Template/htm/default.htm,这是“第一步:删除黑链”开头的问题。