易优cms快照劫持处理方法

官方针对2018年9月份的漏洞导致快照被劫持的问题 做出以下道歉：

对此次的漏洞未能及时修复与发布更新，深感歉意！是我们官方工作不到位，给广大易优用户造成了困扰，还望各位继续一如既往的支持与鼓励，感谢！
同时也感谢那些安全检测的大神们，此次危机让我们再次对安全问题的重视，也欢迎大家发现漏洞的同时邮件反馈给我们技术人员：1105415366@qq.com，非常感谢！

【前提】

1、本地电脑是否保留网站源码（没有中木马），没有的话，建议到易优官网下载对应的模板源码，比如：local.zip

2、在服务器/虚拟空间对网站源码进行在线压缩，并下载压缩包到本地电脑，比如：www.zip

【步骤】

1、下载 Beyond Compare 3 文件比较工具

下载及安装教程：http://www.eyoucms.com/bbs/984.html

2、在电脑桌面创建 local 文件夹，把 没有木马的网站源码拷贝到 local 文件夹下；

3、在电脑桌面创建 www 文件夹，把本地网站源码拷贝到 www文件夹下；

4、选中文件夹 local 和 www ，看图操作；

5、比较工具显示如下，左边是本地源码，右边是有木马的服务器源码

6、找到菜单右边的眼镜按钮，在弹出的框里输入过滤规则，如下图操作。

过滤规则在图片下文中，可复制：

排除文件规则(此规则只针对易优CMS)：

.\public\upload\*\*\*\*\*.jpg

.\public\upload\*\*\*\*\*.jpeg

.\public\upload\*\*\*\*\*.png

.\public\upload\*\*\*\*\*.bmp

.\public\upload\*\*\*\*\*.gif

.\public\upload\*\*\*\*\*.ico

.\data\sqldata\*.sql

md5list2.txt

constant.php

CoreProgramBehavior.php

排除文件夹规则(此规则只针对易优CMS)：

.\data\runtime

继续设置比较规则，精准对比；

7、按图选中，然后F5刷新，开始第一轮的文件比较（显示被改动过的相同文件）；

8、选中标红的每一个文件，按 Ctrl+N 查看有哪些不对劲的地方，或者有可疑的代码串（代码堆），如果不确认就截图私下发给小虎哥（1105415366@qq.com）。

假设我们双击 xxxx 文件，发现本地文件与服务器文件差异很大，一堆密密麻麻的代码，就几乎确定是有问题。
 

按键盘最左上角的Esc键关掉当前对比文件，接着单击选中 xxxxx 文件，按快捷键 Ctrl+R 将左侧本地文件覆盖右侧被篡改的文件；

如果有遇到这类的代码算是正常，可以忽略这个文件，不用复制到右侧；

9、反复对比完上一个步骤之后，开始进行第二轮对比，删除右侧的木马文件；

看下图操作，然后F5刷新。

10、右侧凡是标记蓝色文件的基本是多余的文件，特别是文件扩展名为 .php 一定要删掉（比如：xxxxx.php），切勿删除目录（目录下还有正常的文件）。删除操作如下图所示。（快捷删除步骤：右击指定文件 -> 连续按键盘字母 D 两次）

11、必须要清理的目录文件

    1) 删除安装目录 /install/

    2) 私下到右侧的源码根目录下  /data/runtime/ 文件夹里全部删除所有子目录

12、整个比较工作完成，打开右侧源码所在的 www 文件夹，全选右击压缩。

13、清空服务器上的站点根目录（彻底根除木马），然后将压缩包上传到空间/服务器，在空间面板那边进行在线解压覆盖。

14、登录网站后台，点击系统升级，更新到官方的最新版本，把漏洞修复上。


15、删除升级更新之后的版本备份文件目录 /data/backup/



网站木马对比排查的之旅就此结束，感谢你们的陪伴与成长，感恩每一个用户！

对此次的漏洞未能及时修复与发布更新，深感歉意！
同时也感谢那些安全检测的大神们，，是我们官方工作不到位，给广大易优用户造成了困扰，还望各位继续一如既往的支持与鼓励，感恩！