1. 程式人生 > >易優cms快照劫持處理方法

易優cms快照劫持處理方法

官方針對2018年9月份的漏洞導致快照被劫持的問題 做出以下道歉:

對此次的漏洞未能及時修復與釋出更新,深感歉意!是我們官方工作不到位,給廣大易優使用者造成了困擾,還望各位繼續一如既往的支援與鼓勵,感謝!
同時也感謝那些安全檢測的大神們,此次危機讓我們再次對安全問題的重視,也歡迎大家發現漏洞的同時郵件反饋給我們技術人員:[email protected],非常感謝!

【前提】

1、本地電腦是否保留網站原始碼(沒有中木馬),沒有的話,建議到易優官網下載對應的模板原始碼,比如:local.zip

2、在伺服器/虛擬空間對網站原始碼進行線上壓縮,並下載壓縮包到本地電腦,比如:www.zip

【步驟】

1、下載 Beyond Compare 3 檔案比較工具

2、在電腦桌面建立 local 資料夾,把 沒有木馬的網站原始碼拷貝到 local 資料夾下;

3、在電腦桌面建立 www 資料夾,把本地網站原始碼拷貝到 www資料夾下;


 

4、選中資料夾 local 和 www ,看圖操作;

5、比較工具顯示如下,左邊是本地原始碼,右邊是有木馬的伺服器原始碼

6、找到選單右邊的眼鏡按鈕,在彈出的框裡輸入過濾規則,如下圖操作。

過濾規則在圖片下文中,可複製:

排除檔案規則(此規則只針對易優CMS):

.\public\upload\*\*\*\*\*.jpg

.\public\upload\*\*\*\*\*.jpeg

.\public\upload\*\*\*\*\*.png

.\public\upload\*\*\*\*\*.bmp

.\public\upload\*\*\*\*\*.gif

.\public\upload\*\*\*\*\*.ico

.\data\sqldata\*.sql

md5list2.txt

constant.php

CoreProgramBehavior.php

排除資料夾規則(此規則只針對易優CMS):

.\data\runtime

繼續設定比較規則,精準對比;

7、按圖選中,然後F5重新整理,開始第一輪的檔案比較(顯示被改動過的相同檔案);



8、選中標紅的每一個檔案,按 Ctrl+N 檢視有哪些不對勁的地方,或者有可疑的程式碼串(程式碼堆),如果不確認就截圖私下發給小虎哥([email protected])。

假設我們雙擊 xxxx 檔案,發現本地檔案與伺服器檔案差異很大,一堆密密麻麻的程式碼,就幾乎確定是有問題。
 

按鍵盤最左上角的Esc鍵關掉當前對比檔案,接著單擊選中 xxxxx 檔案,按快捷鍵 Ctrl+R 將左側本地檔案覆蓋右側被篡改的檔案;

如果有遇到這類的程式碼算是正常,可以忽略這個檔案,不用複製到右側;

9、反覆對比完上一個步驟之後,開始進行第二輪對比,刪除右側的木馬檔案;

看下圖操作,然後F5重新整理。



10、右側凡是標記藍色檔案的基本是多餘的檔案,特別是副檔名為 .php 一定要刪掉(比如:xxxxx.php),切勿刪除目錄(目錄下還有正常的檔案)。刪除操作如下圖所示。(快捷刪除步驟:右擊指定檔案 -> 連續按鍵盤字母 D 兩次)



11、必須要清理的目錄檔案

    1) 刪除安裝目錄 /install/


 

    2) 私下到右側的原始碼根目錄下  /data/runtime/ 資料夾裡全部刪除所有子目錄

12、整個比較工作完成,開啟右側原始碼所在的 www 資料夾,全選右擊壓縮。


13、清空伺服器上的站點根目錄(徹底根除木馬),然後將壓縮包上傳到空間/伺服器,在空間面板那邊進行線上解壓覆蓋。

14、登入網站後臺,點選系統升級,更新到官方的最新版本,把漏洞修復上。


15、刪除升級更新之後的版本備份檔案目錄 /data/backup/



網站木馬對比排查的之旅就此結束,感謝你們的陪伴與成長,感恩每一個使用者!

對此次的漏洞未能及時修復與釋出更新,深感歉意!
同時也感謝那些安全檢測的大神們,,是我們官方工作不到位,給廣大易優使用者造成了困擾,還望各位繼續一如既往的支援與鼓勵,感恩!