最近,我前公司的網(wǎng)站telpo.cn被最新的木馬攻擊,接連發(fā)生了很多問題,網(wǎng)站經(jīng)常斷斷續(xù)續(xù)地打開,然后流量被劫持,一時(shí)間排除問題才發(fā)現(xiàn)是被掛木馬了。
相信站長(zhǎng)seoer們?cè)谌粘>W(wǎng)站優(yōu)化過(guò)程中也會(huì)遇到網(wǎng)站被黑惡意劫持的問題。網(wǎng)站被掛馬怎么處理,如何進(jìn)行排查呢?
本文結(jié)合自己的處理流程進(jìn)行梳理并分享。
【服務(wù)器防御排查】
很多站長(zhǎng)們選擇購(gòu)買了便宜的不可靠的服務(wù)器,這往往最容易被入侵攻擊。廉價(jià)的服務(wù)器機(jī)房基本上不會(huì)開啟安全防護(hù)功能,入侵者利用漏洞輕松可以進(jìn)行提權(quán)操作。
前公司一直使用大品牌的云服務(wù)器,推薦使用阿里云、騰訊云、百度云等,相對(duì)來(lái)說(shuō)比亂七八糟的品牌有保障些。
前些天前公司的一臺(tái)阿里云服務(wù)器收到安全風(fēng)險(xiǎn)提示短信,第一時(shí)間登錄阿里云后臺(tái),找到云盾系統(tǒng)消息提示發(fā)現(xiàn)后門webshell文件,如下圖:
系統(tǒng)會(huì)提供具體的后門文件的路徑位置,根據(jù)這些信息可以快速定位到網(wǎng)站程序中的php木馬后門文件。如下圖所示:
不懂代碼的站長(zhǎng)們還真不太好發(fā)現(xiàn),所以這時(shí)候需要公司PHP研發(fā)和信息化人員投入精力去排查一下。
這是第二個(gè)網(wǎng)頁(yè)后門文件,命名跟其他圖片一樣,一般很難發(fā)現(xiàn)。下圖所示
分析過(guò)后,進(jìn)行了下載方便后面進(jìn)一步的分析研究。建議立即刪除php后門文件。
服務(wù)器主機(jī)電腦殺毒軟件也進(jìn)行了查殺報(bào)毒
【整站源代碼清查木馬】
一般情況下當(dāng)網(wǎng)站被黑惡意跳轉(zhuǎn)或者被掛木馬打不開頁(yè)面,這時(shí)候應(yīng)該做的就是針對(duì)網(wǎng)站進(jìn)行徹底的清查。
大品牌服務(wù)器運(yùn)營(yíng)商在這時(shí)候就發(fā)揮他們的優(yōu)勢(shì),技術(shù)售后能力強(qiáng),你在后臺(tái)提交工單,他們也會(huì)協(xié)助提供方案去解決問題。
具體方法,網(wǎng)站管理面板對(duì)站點(diǎn)進(jìn)行打包下載,電腦本地使用網(wǎng)馬查殺軟件進(jìn)行分析。
建議使用 D盾Web查殺(webshell查殺) 工具,如下圖:
D盾webshell查殺軟件
如果你對(duì)源碼不了解,請(qǐng)聯(lián)系你的網(wǎng)站開發(fā)人員或者是信息化研發(fā)人員協(xié)助處理。(網(wǎng)站公司那邊一般會(huì)收取維護(hù)費(fèi))應(yīng)該第一時(shí)間把隱藏的風(fēng)險(xiǎn)文件和后門程序進(jìn)行剔除。
(必須記得對(duì)網(wǎng)站原始數(shù)據(jù)進(jìn)行備份)
確定把木馬處理干凈之后的源碼重新傳到網(wǎng)站主機(jī)當(dāng)中,確保網(wǎng)站正確運(yùn)行即可。
另外,強(qiáng)化安全操作:
1、修改網(wǎng)站后臺(tái)密碼的復(fù)雜性和長(zhǎng)度;
2、修改服務(wù)器管理面板的控制權(quán)限;
3、修改FTP賬號(hào)密碼等信息;
4、檢查服務(wù)器的安全日志修補(bǔ)漏洞 ;
5、購(gòu)買服務(wù)器廠商的安全防護(hù)類產(chǎn)品等;
【事后分析木馬被掛原因】
為了進(jìn)行研究和學(xué)習(xí),在SEO群里拿出事件的始末來(lái)討論分析原因,才知道是Phpstudy的后門文件出現(xiàn)了狀況(文章帖子:https://www.52pojie.cn/thread-1028079-1-1.html?from=groupmessage)。
因此,特意把查殺出來(lái)的幾個(gè)后門文件進(jìn)行分析,如下圖:
打開其中一個(gè)PHP后門文件來(lái)查看代碼:
為了大家方便查看,把PHP后門放到本地PHP環(huán)境中運(yùn)行給大家看看后門程序的功能。
密碼就是上圖的紅框標(biāo)記出來(lái)的,進(jìn)行MD5解密后得到admins
入侵者通過(guò)自己的PHP后門入口,在你無(wú)感知的狀態(tài)下,可以輕松獲得你服務(wù)器主機(jī)的各種權(quán)限和操作,如下圖:
另外一個(gè)后門PHP文件登錄后的界面和功能
這些行為嚴(yán)重侵害了人民群眾的合法權(quán)益,甚至危害國(guó)家安全。做為站長(zhǎng)SEO人員一定要及時(shí)發(fā)現(xiàn)漏洞和后門,及時(shí)處理做好防護(hù),懂得跟技術(shù)人員溝通問題,運(yùn)用資源去找到最優(yōu)解決方案,否則后果將不堪設(shè)想。
最后:切記一點(diǎn),選擇大品牌的服務(wù)器,及時(shí)發(fā)現(xiàn)并監(jiān)控網(wǎng)站安全,不要等到網(wǎng)站問題放大嚴(yán)重后果,百度懲罰流量下滑再去處理就已經(jīng)晚了。
品牌簡(jiǎn)介:L氪跡|佛山SEO實(shí)戰(zhàn)技術(shù)-免費(fèi)SEO教程學(xué)習(xí)網(wǎng)站
本站文章由SEO技術(shù)教程學(xué)習(xí)網(wǎng)發(fā)布,作者:L氪跡,如若轉(zhuǎn)載請(qǐng)注明原文及網(wǎng)址
