要1：二次開發(fā)的網(wǎng)站請(qǐng)謹(jǐn)慎!!!

重要2：事先備份網(wǎng)站數(shù)據(jù)庫(kù)與源碼!!!

本教程操作繁瑣，請(qǐng)耐心照著一步步操作，大致流程如下：

下載官方核心包 -> 掃描專屬目錄 -> 清空網(wǎng)站根目錄 -> 上傳解壓新源碼

1、在網(wǎng)站后臺(tái)在線掃描，檢查是否存在可疑惡意文件、DDOS攻擊腳本等。

2、查看你網(wǎng)站的版本號(hào) /data/conf/version.txt，如下圖：v1.5.8版本

下載對(duì)應(yīng)版本的源碼核心包（里面不包含前臺(tái)模板、圖片目錄等每個(gè)網(wǎng)站獨(dú)有的文件），并解壓到本地新的文件夾 eyou 里。

EyouCMS-V1.5.8-UTF8-Core.zip
EyouCMS-V1.5.7-UTF8-Core.zip
EyouCMS-V1.5.6-UTF8-Core.zip
EyouCMS-V1.5.5-UTF8-Core.zip
EyouCMS-V1.5.4-UTF8-Core.zip
EyouCMS-V1.5.3-UTF8-Core.zip
EyouCMS-V1.5.2-UTF8-Core.zip
EyouCMS-V1.5.1-UTF8-Core.zip
……更多早期版本，如需要請(qǐng)反饋

3、復(fù)制你網(wǎng)站的模板、圖片、分頁(yè)等二開新增的文件，按對(duì)應(yīng)目錄粘貼到剛才解壓的新源碼 www 里，目錄和文件如下：
/public/upload -- 早期上傳目錄（沒(méi)有可以忽略）
/template -- 前臺(tái)模板目錄
/uploads -- 上傳目錄
/weapp -- 插件目錄
/extend/function.php -- 用戶自定義函數(shù)文件
/core/library/think/paginator/driver/Eyou.php -- PC端列表分頁(yè)html代碼文件
/core/library/think/paginator/driver/Mobile.php -- 手機(jī)端列表分頁(yè)html代碼文件

4、對(duì)以上第3步的目錄文件，進(jìn)行查殺木馬

（1）通過(guò)windows查找文件的方式，搜索以下目錄是否存在 php文件，并將刪除。
/public/upload
/template
/uploads

（2）使用D盾工具查殺這幾個(gè)目錄和文件（D盾下載地址：點(diǎn)擊下載）
/public/upload
/template
/uploads
/weapp -- 插件目錄（如果插件掃描有可疑文件，建議聯(lián)系開發(fā)者確認(rèn)是否木馬文件、或多余可疑惡意文件）
/extend/function.php
/core/library/think/paginator/driver/Eyou.php
/core/library/think/paginator/driver/Mobile.php

（3）如發(fā)現(xiàn)是圖片木馬，右鍵選擇刪除；如發(fā)現(xiàn)是模板文件，請(qǐng)用（除記事本之外）編輯器查看并手工處理可疑代碼片段。

（4）建議人工檢查 /template 模板文件代碼，是否存在可疑代碼片段、或者新增模板文件，并刪除。

5、在中毒網(wǎng)站的目錄內(nèi)，打開 application/database.php 數(shù)據(jù)庫(kù)配置文件，將對(duì)應(yīng)信息填寫到新源碼包 www 的 application/database.php 文件里，如圖：

6、重置空間

（1）一鍵清空當(dāng)前站點(diǎn)所在的空間目錄

1、如果是寶塔環(huán)境，根目錄里的 .user.ini 不要?jiǎng)h除

2、如果虛擬空間，直接從最外一級(jí)清空目錄，因?yàn)?.svn 目錄，可能有些木馬會(huì)注入其中。

（2）重啟空間或服務(wù)器（避免存在內(nèi)存木馬）

（3）修改空間或者服務(wù)器，寶塔面板，網(wǎng)站FTP，網(wǎng)站后臺(tái)等等與網(wǎng)站相關(guān)的一切登錄密碼

（4）適當(dāng)開啟一些安全防護(hù)功能，比如：防火墻、防篡改（可能會(huì)導(dǎo)致下次升級(jí)網(wǎng)站部分文件覆蓋失敗）

7、打新源碼壓縮包 www ，上傳到空間/服務(wù)器進(jìn)行解壓即可。

絡(luò)技術(shù)的不斷應(yīng)用與發(fā)展，為企業(yè)的生產(chǎn)運(yùn)營(yíng)提供了極大便利，利用網(wǎng)絡(luò)可以開展各項(xiàng)工作業(yè)務(wù)，可以大大提高企業(yè)的生產(chǎn)效率，然而，網(wǎng)絡(luò)是一把雙刃劍，在為企業(yè)提供便利的同時(shí)，也為企業(yè)的數(shù)據(jù)安全帶來(lái)嚴(yán)重威脅。近日，云天數(shù)據(jù)恢復(fù)中心接到多家企業(yè)的求助，企業(yè)的計(jì)算機(jī)服務(wù)器遭到了360后綴勒索病毒攻擊，導(dǎo)致企業(yè)計(jì)算機(jī)服務(wù)器系統(tǒng)癱瘓，無(wú)法正常工作，嚴(yán)重影響到了企業(yè)正常生產(chǎn)運(yùn)營(yíng)。

360后綴勒索病毒是一種具有較強(qiáng)目的性的勒索病毒，該勒索病毒屬于Beijingcrypt勒索家族，該家族下有多重后綴勒索病毒像360，halo，faust等，360后綴勒索病毒采用了新升級(jí)后的RSA與AES加密算法，具有較強(qiáng)的攻擊與加密能力，可以通過(guò)遠(yuǎn)程桌面弱口令與電子郵件附件或捆綁軟件等形式進(jìn)行傳播，一旦被該勒索病毒攻擊，非專業(yè)技術(shù)團(tuán)隊(duì)很難自行解密恢復(fù)文件。經(jīng)過(guò)云天數(shù)據(jù)恢復(fù)中心工程師對(duì)360后綴勒索病毒的解密恢復(fù)，為大家整理了以下有關(guān)該勒索病毒的相關(guān)信息。

一，360后綴勒索病毒特點(diǎn)

1. 攻擊加密，由于360后綴勒索病毒采用了新升級(jí)后的RSA與AES加密算法，該勒索病毒加密后的文件全部為全字節(jié)格式，具有較強(qiáng)的攻擊能力，它可以繞過(guò)企業(yè)的防護(hù)軟件，偽裝成系統(tǒng)不便于識(shí)別的信任軟件進(jìn)行攻擊，從而實(shí)施加密程序。
2. 中毒表現(xiàn)，當(dāng)計(jì)算機(jī)服務(wù)器被360后綴勒索病毒攻擊后，企業(yè)計(jì)算機(jī)上的所有文件的后綴名統(tǒng)一會(huì)變成360，像jiemihuifu.mdf文件就會(huì)變成jiemihuifu.mdf.360，并且還會(huì)在計(jì)算機(jī)的桌面流行一封名為!_INFO.txt或!_INFO.html勒索信。
3. 中毒后果，360后綴勒索病毒會(huì)給企業(yè)帶來(lái)嚴(yán)重的經(jīng)濟(jì)損失，大多3000-5000美金不等，并且還會(huì)造成企業(yè)重要信息泄露的風(fēng)險(xiǎn)，嚴(yán)重影響企業(yè)的正常業(yè)務(wù)開展，給企業(yè)的信譽(yù)與口碑帶來(lái)惡劣后果。

二，360后綴勒索病毒解密

1. 數(shù)據(jù)庫(kù)破解，針對(duì)360后綴勒索病毒，專業(yè)的數(shù)據(jù)恢復(fù)機(jī)構(gòu)擁有成功的解密恢復(fù)經(jīng)驗(yàn)，根據(jù)不同企業(yè)的加密狀況結(jié)合加密漏洞與早期未中毒的備份文件，可以制定出合理的解密方案計(jì)劃，數(shù)據(jù)恢復(fù)完整度高，數(shù)據(jù)恢復(fù)安全高效。
2. 整機(jī)解密，由于360后綴勒索病毒的加密方式為全字節(jié)格式，如果企業(yè)需要解密的文件類型包括辦公格式的圖檔或視頻，需要采用整機(jī)解密，整機(jī)解密成本較高，但是數(shù)據(jù)恢復(fù)完整度高，數(shù)據(jù)恢復(fù)安全高效。

三，360后綴勒索病毒預(yù)防

1. 安裝可靠的防勒索病毒軟件，定期系統(tǒng)查殺，修補(bǔ)漏洞，維護(hù)系統(tǒng)的弱口令密碼。
2. 減少端口共享與映射操作，避免計(jì)算機(jī)端口長(zhǎng)時(shí)間暴露在公網(wǎng)之上，尤其夜間。
3. 定期備份系統(tǒng)文件，并做好物理隔離，預(yù)防特殊情況的發(fā)生。
4. 提高全員網(wǎng)絡(luò)安全意識(shí)。