昨天dedecms被阿里云告知,被人拿了webshell,于是在后台使用云盾进行进行处理,删除了相关小马。

没想到今天登录我的企业站,发现网站的TKD又被别人给就改了,阿里云再次向我发送了“异常网络连接-Webshell通讯行为”的通知,这下就比较讨厌了。

首先我看了看云盾通知:云盾检测到有疑似黑客正在通过Webshell访问该服务器,可能是因为服务器上网站存在漏洞被植Webshell或者因为已发现的Webshell未及时删除导致黑客入侵。黑客可通过该Webshell窃取网站核心资料,篡改数据库等危险操作。这告诉我了那些文件被攻击了。

异常网络连接-Webshell通讯行为.png

我又看了看Webshell通讯行为的攻击溯源。不是很懂,但发现这个网站在很早以前就被别人攻击了。

被webshell攻击图标

上网搜了搜,我发现主要是因为我的dedecms没有升级,很多文件没有被升级,于是我在后台进行在线更新。我想想四个网站一起进行升级,没想到升级过后居然连我的网站默认模板也一起更新掉了。

气愤的是我并没有备份文件,之前有备份过,不过我没在意,这才发现距离上次备份时间已经有一年多了。由于我今年上半年把几个网站的首页模板更新过,这一下太耽误我时间了,对照百度快照足足修改了三个小时,才修复好了三个网站的首页模板。相信这些模板还不是太完善了,日后有机会好要重新修改一下。

我修改了dedecms的后台文件目录,在阿里云云盾后台发现福建南平建瓯,IP为110.82.244.55的用户又想来拿我企业站webshell了。通过阿里云提供的图表发现,他主要入侵的是dedecms的data和include两个目录。我抓紧替换一下目录内的文件再说。

技不如人,真是一件麻烦事!