現(xiàn)在DEDECMS系統(tǒng)越來越普遍，操作簡單、模版制作也簡單，新手很容易上手，剛開始做網(wǎng)站的朋友大部分都會選擇DEDECMS這套建站程序，但由于對網(wǎng)絡(luò)安全缺乏了解，導(dǎo)致很多使用DEDECMS系統(tǒng)的網(wǎng)站經(jīng)常被黑客攻擊，串改頁面掛黑鏈、六合彩、色情等等！然后就很多人說DEDECMS不安全、漏洞多等等，其實(shí)不然，CMS程序都會存在漏洞，只是使用的人不一樣，官方的補(bǔ)丁及時更新，就可以免除很大部分隱患，在上一篇文章中還說起過DEDECMS系統(tǒng)的安全設(shè)置工作，但是很多站長都不以為然，今天又有一站長網(wǎng)站中招了！

那么DEDECMS系統(tǒng)被黑之后應(yīng)該怎樣做好修復(fù)工作呢，下面我們就以這個站長的實(shí)例來做下演示，指導(dǎo)大家在DEDECMS被黑之后應(yīng)該排查那些頁面，怎樣清除植入的木馬（一般為PHP大馬、小馬或一句話木馬）。

客戶網(wǎng)址：http://www.drugapple.com/

此時，已被騰訊攔截，提示網(wǎng)站頁面被串改，不建議訪問等等！

頁面提示電腦IP已經(jīng)被記錄，關(guān)閉網(wǎng)站就開始攻擊，其實(shí)這東西就是唬人的，可以直接無視，看下面的字，顯然小孩子黑了網(wǎng)站之后炫耀的！介紹下這站長的網(wǎng)站，是一個韓國女明星金泰妍的無盈利粉絲站，沒有競爭對手惡意破壞的可能。

恢復(fù)記錄

首先通過FTP檢查了模版，發(fā)現(xiàn)模版并未出問題，只是被串改了首頁而已，后臺生成一下首頁，網(wǎng)站就恢復(fù)了正常！DEDECMS系統(tǒng)有更新選項(xiàng)，點(diǎn)擊以后發(fā)現(xiàn)很多補(bǔ)丁包沒有打上，如下圖！

點(diǎn)擊獲取所有更新文件，然后將補(bǔ)丁全部打上，下一步該查找木馬了，現(xiàn)在較為常見的在系統(tǒng)中植入木馬的方式常為廣告管理和自定義宏標(biāo)記，廣告中ID多為8888，以90sec為代表的植入木馬方式，另一種植入木馬方式為自定義宏標(biāo)記，檢查廣告和自定義宏標(biāo)記中是否自己的廣告和標(biāo)記，如發(fā)現(xiàn)內(nèi)容中包含

自定義宏標(biāo)記出現(xiàn)多條內(nèi)容，且編號數(shù)字較大，正常途徑新增自定義標(biāo)記編號為1開始并遞增！（廣告亦是如此）

此內(nèi)容包含

現(xiàn)在DEDECMS系統(tǒng)內(nèi)的木馬已經(jīng)清除，但是木馬還存在于網(wǎng)站之中，為了更好的排查木馬，我們可以借助360網(wǎng)站安全檢測，平臺內(nèi)有一工具叫木馬查殺，可以快速排查網(wǎng)站中存在的木馬（當(dāng)然如果動手能力比較強(qiáng)可以手工排查）。

DEDECMS系統(tǒng)是PHP版本，所以選擇后門查殺PHP版本，然后上傳至網(wǎng)站，點(diǎn)擊下一步開始查殺！

好家伙，查到了5個后門，看！有剛才提到的xavip.php，查到了那么就要刪除，通過FTP將以上文件刪除！（刪除前請注意做好備份，有時候也會有誤殺的情況）！好了到此截至，網(wǎng)站木馬查殺工作完成！如果網(wǎng)站已經(jīng)被安全網(wǎng)站提示攔截，那么我們就要進(jìn)行申訴工作了！請參考實(shí)例：該網(wǎng)站已經(jīng)被串改（安全平臺攔截）的恢復(fù)過程