织梦CMS /plus/90sec.php 被挂马的现象与危害

织梦CMS作为国内广泛使用的内容管理系统，因其开源和易用性深受站长喜爱。只是 近年来其平安问题频发，特别是“/plus/90sec.php”文件被挂马事件频繁出现，给众多网站带来严重威胁。

被挂马后 网站常见表现包括：

• 网站自动弹出博彩、赌博、色情等非法广告页面。
• 后台管理员账户被异常添加，如“service”、“spider”等陌生用户。
• 根目录及/plus/目录下出现大量不明PHP文件，如asdd.php, 90sec.php, service.php等。
• 模板文件被篡改，自定义宏标记中莫名增加新条目。
• /data/cache/和/data/tplcache/目录内存在大量异常缓存文件，导致木马难以彻底清除。

这些恶意代码往往利用eval函数施行上传的恶意PHP代码， 从而实现远程控制及反复植入，形成顽固的“死循环”。一旦不及时清理，不仅影响SEO排名，更可能导致数据泄露和服务器资源被滥用。

/plus/90sec.php木马攻击的成因分析

DedeCMS插件是平安风险的重灾区之一。主要原因如下：

1. 插件代码平安漏洞频发

/plus/目录下许多插件如download.php、 mytag_js.php、guestbook等存在权限校验不足、输入过滤缺失等漏洞。黑客利用这些漏洞上传恶意脚本或注入后门代码，将恶意PHP文件写入服务器指定路径。

2. 后台弱口令及权限管理不严谨

部分站长未开启后台登录验证码或使用弱密码，使得暴力破解变得轻松。黑客借此登陆后台，直接添加管理员账号或修改模板文件，实现持久化控制。

3. 缓存文件夹未及时清理导致病毒残留隐患

/data/cache/, /data/tplcache/这两个缓存目录中存储了模板解析后的缓存文件，其中可能含有恶意嵌入代码。即使删除表面木马文件，如果不清理缓存，这些木马会在后台调用时重新激活并生成新的恶意脚本。

4. 旧版缺乏最新补丁支持

DedeCMS官方不定期发布平安补丁， 但部分站点长期未更新核心程序和插件，使得已知漏洞持续暴露，被黑客反复利用。

/plus/90sec.php被挂马后如何快速修复？详细操作步骤解析

务必做好完整备份，包括数据库和所有网站文件！避免修复失败导致二次损失。

步骤一：备份当前网站数据与文件

• 数据库导出：通过phpMyAdmin或命令行导出全部数据库内容，以防误删重要数据造成无法恢复；推荐使用SQL格式备份。
• FTP下载全站点：确保完整备份当前状态便于比对和还原。
• XSS脚本检测：-可用专业工具扫描所有HTML/PHP模板是否包含eval、 base64_decode等可疑函数调用代码段，并记录位置供后续清理参考。

步骤二：彻底删除疑似木马及后门程序文件

•   删除根目录下所有陌生PHP脚本，比方说： asdd.php, service.php, spider.php, bakup.php 等无关且近期新增的PHP文件均需审慎删除；确认非系统核心程序再施行操作！
•   清空并删除/plus/90sec.php, download.php, mytag_js.php, vliw.php, vuew.php, digg.php, xiao.php
•   删除数据库中的异常管理员账号以及非授权用户列表记录， 在DedeCMS后台用户管理里重点检查，并配合SQL语句辅助查询删除：

DELETE FROM dede_admin WHERE userid IN ;
    

•   清理模板自定义宏标记。在DedeCMS后台进入 → → , 删除新增的不明宏标签条目，这些常用于隐藏施行恶意代码的入口点。
•   清空并删除/data/cache/ 和 data/tplcache/ 下所有缓存与临时文件 . 注意， 此处不能遗漏，否则木马会从缓存恢复造成二次感染甚至反复爆发！建议通过FTP或者主机面板直接批量删除这些缓存目录里的内容。
•   检查include目录中的核心库， 如dedesql.class.php 等，根据官方最新补丁替换覆盖旧版，有些病毒会篡改此类基础库达到隐藏效果。建议从官方渠道下载对应版本进行覆盖替换 。
•   如果条件允许， 可以采用“一键杀毒”插件或者DedeCMS内置病毒扫描工具，对全站进行深度扫描，一键定位可疑文件，并结合人工判断彻底剔除凶险元素。
•   对于无用功能模块， 可选择禁用或直接移除对应插件脚本及相关表数据，以减少攻击面。比方说：删除 plus 下 guestbook 文件夹，以及 download 和 mytag_js 等高风险组件。

步骤三：加强平安策略与防护措施， 杜绝二次入侵风险

• 修改后台登录密码及账户名：  不要使用默认管理员用户名，且密码长度不少于12位，包括大小写字母+数字+符号混合，提高密码强度；一边启用后台登录验证码功能，有效阻断暴力破解尝试。
• 修改数据库表前缀：  DedeCMS默认表前缀为dede_, 建议安装时更改为随机字符串以防止SQL注入自动识别目标。
• 设置 plus 和 data 文件夹权限为只读 ：确保普通用户无法随意写入敏感目录，从源头上阻止上传型攻击。
• 定期升级织梦CMS到最新版 ：官方会不断修复已知漏洞， 不要拖延升级，否则漏洞依然暴露给黑客利用。
• 使用Web应用防火墙：部署诸如云锁、 平安狗或阿里云盾等第三方WAF服务，为网站提供多层过滤规则，有效拦截常见注入攻击和恶意请求。
• 禁止直接访问PHP敏感脚本：通过配置.htaccess规则限制访问， 比如禁止浏览器直接访问 /plus/*.php 文件，提高平安边界。
• 定期备份自动化：建议搭建定时备份机制， 每日自动备份数据库和关键源码，一旦发生紧急情况能快速恢复。
• 加强服务器环境平安 ：关闭不必要端口服务， 及时打补丁更新操作系统软件，一边合理设置防火墙策略减少潜在风险。
• 网站日志监控与报警 ：定期查看访问日志是否有异常请求， 如大量POST提交或者访问未知页面一旦发现应第一时间响应处理。
• 培训运营人员平安意识 ：包括避免使用公共WiFi登录后台、 不随便下载未知附件、不轻信钓鱼邮件，提高团队整体防范水平。

  | 构建织梦cms持久平安体系的重要性

  针对此次 /plus/90sec .php 被挂马问题 ， 单纯依赖事后清理虽然能短暂缓解，但如果忽视基础平安建设 ， 黑客依然能利用类似手法东山再起 。所以呢 ， 建议各位织梦cms站长从以下几方面着手构建长期稳健的网站平安防线 ： 保持系统及时更新 ，获取官方最新补丁 ，修复已知漏洞 。这是最基本也是最关键的一步 。

  想了解更多织梦cms平安加固技巧， 请关注我们的技术专栏，我们将持续更新实战案例分享与高级防护方案！

  精简功能模块 ，关闭未启用插件与接口 。减少潜在攻击面 。 合理分配服务器权限 ，避免过宽权限引发越权操作 。 强化身份认证体系 ，提升登录复杂度与多因素验证机制 。 持续监控日志 & 异常行为告警 ，第一时间响应威胁事件 。 定期离线全面备份，并模拟演练恢复流程 ，保障突发事件下业务连续性 。 只有做到以上措施齐抓共管， 才能有效杜绝像/plus /90sec .php 挂马事件这样棘手的问题重复发生，让您的织梦cms网站既稳定又健康地成长，一边大幅提升搜索引擎信任度和用户体验质量，从而实现SEO优化目标与业务发展双赢 。

---