欢迎来到酷客淘商城,为站长提供交易担保服务 访问移动版
站长交易首选担保平台!
酷客淘

源码交易说记一次网站被挂马的原因排查(附处理过程

日期: 2019-11-23 15:55:50 人气: -

记一次网站被挂马原因排查分析流程。昨天一台服务器被挂马,幸好自己对服务器略有熟悉第一时间把隐藏在网站源码中的木马文件进行处理。相信站长SEO们在日常网站优化过程中经常会遇到网站被黑恶意劫持的问题。网站被挂马怎么处理,如何进行排查呢?


本文结合自己的处理流程进行梳理并分享。1)服务器防御性非常重要

多数站长选择便宜的不可靠的服务器,这往往最容易被入侵攻击。廉价的服务器机房基本上不会开启安全防护功能,入侵者利用漏洞轻松可以进行提权操作。


我本人一直使用大厂的服务器产品,推荐使用阿里云、腾讯云、百度云等,相对来说比小厂有保障些。前些天我的一台阿里云服务器收到安全风险提示短信,第一时间登录阿里云后台,找到云盾系统消息提示发现后门webshell文件,如源码:系统会提供具体的后门文件的路径位置,根据这些信息可以快速定位到网站程序中的PHP木马后门文件。如源码所示:


一般人还真不太好发现,藏的够深啊 ,还有很强的模仿能力。


这是第二个网页后门文件,命名跟其他图片一样,一般很难发现。源码所示


我进行了下载方便后面进一步的分析研究。建议立即删除php后门文件。


2)彻底清查整站程序源码

一般情况下当网站被黑恶意跳转,百分百中招应该做的就是针对网站进行彻底的清查。


具体方法,网站管理面板对站点进行打包下载,电脑本地使用网马查杀软件进行分析。


建议使用 D盾Web查杀(webshell查杀) 工具,如源码:如果你对源码不了解,请联系你的网站开发人员或者是模板制作人员协助处理。(一般会收取费用)应该第一时间把隐藏的风险文件和后门程序进行剔除。(记得网站原始数据进行备份)


确定处理干净之后的源码重新传到网站主机当中,确保网站正确运行即可。


强化安全操作:


修改网站后台密码的复杂性和长度;

修改服务器管理面板的控制权限;

修改FTP账号密码等信息;

检查服务器的安全日志修补漏洞 ;

购买服务器厂商的安全防护类产品等;3)分析网站后门Wehshell文件

为了进行研究和学习,我特意把查杀出来的几个后门文件进行分析:如源码为了大家方便查看,把PHP后门放到本地PHP环境中运行给大家看看后门程序的功能。