織夢DEDE經常被挂馬最終詳細解決方案！

一、挂馬前的(de)安全措失
　　A、改更默認管理(lǐ)目錄dede。
　　B、檢查install目錄裏是否存在install.lock文件。有用(yòng)戶沒給install目錄寫權限導緻安裝的(de)時(shí)候沒有生成lock文件。安裝完成後可(kě)整個(gè)删除intstall目錄。
　　C、關注後台更新通(tōng)知，檢查是否打上最新dedeCMS補丁
　　D、服務器web目錄權限設置
　　有條件的(de)用(yòng)戶把DedeCms中 data、templets、uploads、html、special、images、install目錄設置爲不允許執行腳本，其它目錄禁止寫入，系統将更安全。
　　E、建議(yì)到官方下(xià)載程序
　　F、服務器安全措施(以windows2003系統爲例)
　　1、更新系統補丁到最新的(de)，并打開自動更新
　　2、安裝殺毒軟件，更新病毒庫到最新，并打開自動更新
　　3、打開系統自帶的(de)防火牆，開放應用(yòng)中的(de)端口，以過濾不必要的(de)端口訪問
　　4、打開tcp/ip安全策略，開放應用(yòng)中的(de)端口，以過濾不必要的(de)端口訪問
　　5、打開用(yòng)戶與用(yòng)戶組管理(lǐ)，添加IUSR用(yòng)戶對(duì)應不同WEB站點，以便分(fēn)權限管理(lǐ)減少因一站點被黑(hēi)帶來(lái)的(de)權限危機
　　6、針對(duì)不同的(de)WEB目錄設置不同的(de)權限
　　例：WebSiteA目錄對(duì)應權限一般爲system/administrators完全權限　IUSR_websiteA隻讀權限
　　WebsiteA下(xià)面的(de)子目錄根據DedeCMS程序的(de)需求分(fēn)配IUSR_websiteA的(de)寫入運行權限，詳見上面b點目錄權限說明(míng)
　　7、不要在服務器上安裝不明(míng)來(lái)路的(de)軟件
　　8、不要在服務器上安裝什(shén)麽破解版漢化(huà)版軟件，如果實在需要建議(yì)用(yòng)原版
　　9、建議(yì)不要安裝ServU FTP軟件，換用(yòng)其它的(de)FTP軟件，更改FTP端口，用(yòng)戶密碼不要太簡單
　　10、如果不需要請盡量關閉服務應用(yòng)的(de)遠(yuǎn)程訪問功能，如mysql user的(de)遠(yuǎn)程訪問
　　11、針對(duì)上面一點，可(kě)以運用(yòng)本地安全策略功能，設置允許訪問IP。
　　12、運用(yòng)本地安全策略，還(hái)可(kě)以有效拒絕CC攻擊，過濾來(lái)源IP的(de)訪問。
　　13、服務器上各項服務應用(yòng)注意及時(shí)更新補丁，如mssql切記打補丁，而且要使用(yòng)正版的(de)，沒條件的(de)也(yě)要使用(yòng)正規的(de)複制版本
　　14、服務器上的(de)各項應用(yòng)如IIS配置mysql配置，請搜索百度谷歌(gē)這(zhè)方面的(de)安全應用(yòng)的(de)專題，加強内功是很重要的(de)。
　　15、開啓IIS的(de)訪問日志記錄
　　

二、挂馬後的(de)安全檢查
　　必要時(shí)關閉網站進入一步步排查
　　A、進DedeCMS管理(lǐ)後台檢查是否有新補丁或安全提醒沒有及時(shí)更新。
　　B、檢查源文件中是否有相應木(mù)馬病毒代碼，以确認是否爲ARP攻擊
　　ARP攻擊表現：程序文件毫無異動，攻擊是采用(yòng)欺騙目标網關以達到欺騙用(yòng)戶端的(de)效果，實現用(yòng)戶端訪問網站加載木(mù)馬的(de)目的(de)。
　　ARP攻擊防範：對(duì)服務器加裝防ARP攻擊類的(de)軟件及其它應對(duì)措施，或聯系您的(de)IDC服務商。
　　C、檢查目錄權限，詳見第一大(dà)點裏的(de)安全措施。
　　D、檢查FTP裏的(de)每一個(gè)目錄，查找最近被修改過的(de)可(kě)疑文件。
　　1、用(yòng)記事本等類工具打開查找，如果是真被挂馬，這(zhè)裏分(fēn)析下(xià)都能找到。
　　2、如果是整站被挂，請著(zhe)重先檢查下(xià)整站調用(yòng)的(de)js文件。
　　3、從文件中找出被挂的(de)代碼，複制代碼的(de)關鍵語句部分(fēn)，打開替換類軟件批量替或批量找吧。
　　4、上面一步需要有服務器控制權限，沒有的(de)話(huà)隻能下(xià)載回來(lái)批了(le)。(這(zhè)是謹慎的(de)辦法，如果你有把握那可(kě)以隻檢查部分(fēn)文件或目錄)
　　E、上面還(hái)是解決不了(le)，那得(de)分(fēn)析IISLOG日志，追根朔源查找入侵點。
　　你可(kě)以下(xià)載IISlog分(fēn)析類軟件研究。