dedecms被批量挂马后如何处理？假如数据有天天备份的话，那还好说，可以恢复下数据。可是又有几个站长能做到天天备份的呢？

dedecms的5.5版本有严重的安全漏洞，我因为比较懒惰，一直没打程序补丁，导致梦网美国主机站被入侵挂马，更郁闷的是，我是每过一周左右进行一次备份的。而网站所有的静态页都被批量挂马，手动一点一点的去掉代码，那是很不现实的。恢复数据的话，只能回复到一周前的数据，而我最近一周更新的文章比较多。

经探索，摸索出两个可以可以清除掉挂马代码的方法。在这里给大家介绍下，希望可以帮到大家。

方法一：既然是批量挂马，那肯定是有批量挂马工具的。经查询，dedecms5.5的系统漏洞，被入侵的话，一般是在data/cache目录有后门程序。如果没在这个目录，可以自己挨个查看下各个目录，根据文件修改时间和名称判断下。找到批量挂马程序后（一般是个asp和php网页），在FTP工具里，点右键，选择“查看”，在源代码的开头部分，可以找到一个密码，复制下来。在浏览器中输入你的域名/目录/挂马程序的文件名，出来的页面一般要求输入密码，输入刚才复制的密码，进入批量挂马工具。在这个工具里，功能很多，有提权，文件管理，文件上传，批量挂马，批量清马等等。我们可以用这个“批量清马”功能来清楚网站上的挂马代码。查看下挂马代码，复制到批量清马工具下面的输入框里，点开始就可以了。

方法二：利用dedecms本身自带的生成html功能来清理挂马代码，把整个网站重新生成一遍，代码自然就没了。不过这个方法只适合没给php文件挂马的情况下使用。假如php文件被挂马的话，这个方法是没用的。

最后提醒下大家，网站程序一定要勤打补丁，勤备份！

因为喜欢PHP和开源所以喜欢上DEDECMS，但是因为技术有限所以用起来遇到很多的困难而又没人帮忙，只能自己摸索加向朋友提问,从中也体会到做个人站长的辛苦。

正因为织梦的免费开源也导致他最容易出现漏洞，同也因为他庞大的用户群体。大量的技术高手都在研究织梦的代码，所以不得不佩服IT柏拉图的能力。自从用了DEDECMS之后应该算是经历了两次漏洞挂马事件，由于技术有限每次都是花了很长时间才解决。我想可能很多新手会跟我一样遇到这样的问题，尤其是在明知道有木马却不知道如何解决，那种无助的感觉真的很难受。

在这里就简单记录一下我两次的经历及大致解决办法，大部分都是在网页上中木马

1.最笨的一种应该是直接修改生成的index.htm文件，一般在源代码底部加入一段<iframe>的代码，直接查看源代码就可以，这种重新生成一次首页就可以；

2.聪明一点的会修改模板文件，把templets目录下的主要文件源代码同样底部加入<iframe>代码，这样每次生成都会调用，找到他删除就可以；

3.稍微厉害一点的会把<iframe>代码放的更隐蔽些，不是头部也不是底部，在中间某个部门，直接CTRL F查找就可以；

4.还有一种是调用.js文件，混在网页中间，利用大多数网页都会有JS调用作为掩护，仔细查找就可以；

5.更高级一点的就是这次我遇到的，模板首页都会调用一个dedeajax.js的文件，他把代码加入到这里面去；

以上是比较常见的一些情况，然后仅仅是删除了木马代码而已，更重要的是要找到根源才行，这样才不会被再次中毒。

根据上次官方发布的解决漏洞办法分析，大多数都是利用会员注册的上传文件漏洞伪装成rar,zip等文件把后门程序上传，从而获得管理权限。所以清楚了网页里的代码之后就要注意查找这些后门程序，大部分都是.php结尾的文件，打开之后显示一堆乱码，直接在upimg里的userup目录查找，如果你网站开的越久内容越多查找起来可能会比较麻烦，可以下载到本地用资源管理器查找*.php文件，找到一个删除一个。

最后的建议就是彻底关闭会员注册功能，或者会员上传功能，大部分个人网站都是用DEDECMS做一个内容发布的网站，很少有需要会员上传什么东西的，所以这个功能其实根本就没有用到，与其这样不如彻底关闭。一个搞安全的朋友告诉我最安全的网站就是全html的网站，能减少程序功能就尽量减少。

注：本文仅适合个人站长新手，老站长请绕行。

原创文章如转载，请注明：转载自郑州SEO_郑州百度网站优化公司
原文地址：http://www.qihow.com/blog/wangluo/115.html