1. 首页
  2. 建站教程
  3. 服务器运维

记一次网站被挂马的原因排查(附处理过程)

免备案主机服务器哪家好(推荐清单)

免备案VPS主机哪家最好?免费推荐国外VPS服务器产品。当今服务器厂商鱼龙混杂,网站长很难选择正确且可靠的服务器产品,尤其是免备案服务器如果不懂技巧很容易掉进垃圾服务器的坑。本文为站长们罗列并推荐国内外免备案主机服务器产品,供外贸建站参考。 香港GIA线路免备案CN2强烈推荐 免备案服务器推荐(CN2线路介绍) Bandwagonhost搬瓦工 Bandwagonhost免备案服务器简介: 搬瓦工...

记一次网站被挂马原因排查分析流程。昨天一台服务器被挂马,幸好自己对服务器略有熟悉第一时间把隐藏在网站源码中的木马文件进行处理。相信站长SEO们在日常网站优化过程中经常会遇到网站被黑恶意劫持的问题。网站被挂马怎么处理,如何进行排查呢?

本文结合自己的处理流程进行梳理并分享。

1)服务器防御性非常重要

多数站长选择便宜的不可靠的服务器,这往往最容易被入侵攻击。廉价的服务器机房基本上不会开启安全防护功能,入侵者利用漏洞轻松可以进行提权操作。

我本人一直使用大厂的服务器产品,推荐使用阿里云、腾讯云、百度云等,相对来说比小厂有保障些。前些天我的一台阿里云服务器收到安全风险提示短信,第一时间登录阿里云后台,找到云盾系统消息提示发现后门webshell文件,如下图:

记一次网站被挂马的原因排查(附处理过程) 记一次网站被挂马的原因排查(附处理过程)

系统会提供具体的后门文件的路径位置,根据这些信息可以快速定位到网站程序中的PHP木马后门文件。如下图所示:

记一次网站被挂马的原因排查(附处理过程) 记一次网站被挂马的原因排查(附处理过程)

一般人还真不太好发现,藏的够深啊 ,还有很强的模仿能力。

这是第二个网页后门文件,命名跟其他图片一样,一般很难发现。下图所示

记一次网站被挂马的原因排查(附处理过程) 记一次网站被挂马的原因排查(附处理过程)

我进行了下载方便后面进一步的分析研究。建议立即删除php后门文件。

记一次网站被挂马的原因排查(附处理过程)
记一次网站被挂马的原因排查(附处理过程) 电脑杀毒软件也进行了查杀报毒

 

2)彻底清查整站程序源码

一般情况下当网站被黑恶意跳转,百分百中招应该做的就是针对网站进行彻底的清查。

具体方法,网站管理面板对站点进行打包下载,电脑本地使用网马查杀软件进行分析。

建议使用 D盾Web查杀(webshell查杀) 工具,如下图:

记一次网站被挂马的原因排查(附处理过程)
记一次网站被挂马的原因排查(附处理过程) D盾webshell查杀软件

如果你对源码不了解,请联系你的网站开发人员或者是模板制作人员协助处理。(一般会收取费用)应该第一时间把隐藏的风险文件和后门程序进行剔除。(记得网站原始数据进行备份)

确定处理干净之后的源码重新传到网站主机当中,确保网站正确运行即可。

强化安全操作:

  • 修改网站后台密码的复杂性和长度;
  • 修改服务器管理面板的控制权限;
  • 修改FTP账号密码等信息;
  • 检查服务器的安全日志修补漏洞 ;
  • 购买服务器厂商的安全防护类产品等;

 

3)分析网站后门Wehshell文件

为了进行研究和学习,我特意把查杀出来的几个后门文件进行分析:如下图

记一次网站被挂马的原因排查(附处理过程) 记一次网站被挂马的原因排查(附处理过程)

打开其中PHP后门文件查看代码

记一次网站被挂马的原因排查(附处理过程) 记一次网站被挂马的原因排查(附处理过程)

 

为了大家方便查看,把PHP后门放到本地PHP环境中运行给大家看看后门程序的功能。

 

记一次网站被挂马的原因排查(附处理过程) 记一次网站被挂马的原因排查(附处理过程)

如何把远程服务器复制到本地电脑

无论是远程服务器复制到本地,还是本地电脑向服务器上传文件都是非常方便的,本教程适用于Windows服务器。 Windows系统本地文件如何复制到远程服务器。 很多人在使用远程服务器的时候往往要将本地的文件传输到远程服务器内,方法有很多种,下面介绍下如何使用Windows自带的远程桌面连接程序将文件复制到远程服务器内。 1、首先,点击windows开始按钮,点击运行,输入mstsc,点击确定。 本地...

密码就是上图的红框标记出来的,进行MD5解密后得到admins

记一次网站被挂马的原因排查(附处理过程) 记一次网站被挂马的原因排查(附处理过程)

入侵者通过自己的后门PHP入口,可以轻松获得你服务器主机的各种权限和操作,如下图:

记一次网站被挂马的原因排查(附处理过程) 记一次网站被挂马的原因排查(附处理过程)

吓出一身冷汗!!!

另外一个后门PHP文件登录后的界面和功能

记一次网站被挂马的原因排查(附处理过程) 记一次网站被挂马的原因排查(附处理过程)

严重性就不多说了,网站的安全性多么重要啊。做为站长SEO人员一定要及时发现漏洞和后门,及时处理做好防护,后果不堪设想。

4)后续安全终极操作与防护

之前有写过一篇关于虚拟主机安全文章《网站被篡改劫持怎么修复》 有兴趣可以点击进行查看。

我自己使用的是服务器,管理环境面板是宝塔,安装相应的防火墙和系统加固功能来实现。

记一次网站被挂马的原因排查(附处理过程) 记一次网站被挂马的原因排查(附处理过程)

提示,宝塔环境面板是目前服务器网站环境最好用的,建议新手服务器环境配置首选 宝塔BT面板。

这里有关使用的文章 BT.CN宝塔面板环境安装流程(图文教程)新手请查看。

相关安全配置功能,在自己的宝塔面板中可以购买开启,有些功能需要购买付费。

AD:宝塔服务器面板,一键全能部署及管理,送你¥3188礼包,点我领取

(Nginx防火墙功能及配置图)

记一次网站被挂马的原因排查(附处理过程) 记一次网站被挂马的原因排查(附处理过程)

(宝塔网站防篡改功能及配置图2)

记一次网站被挂马的原因排查(附处理过程) 记一次网站被挂马的原因排查(附处理过程)

(宝塔系统加固功能及配置图3)

记一次网站被挂马的原因排查(附处理过程) 记一次网站被挂马的原因排查(附处理过程)

跟我关系好的朋友,或者我的徒弟可以私信我,帮你安装宝塔面板或者商业版本。另外,你有解决服务器安全和网站挂马问题处理需求,都可以咨询我付费解决。QQ3002015859

 

最后:关于一次服务器入侵后门网马的过程就分享这么多,切记一点,选择好的服务器,及时发现并监控网站安全,不要等到网站问题放大严重后果,百度惩罚流量下滑再处理就为时以晚了。

最最后,希望大家的网站都平安无事,稳定 ,排名节节高。

 

后门PHP网马文件下载:https://pan.baidu.com/disk/home

本文由SEO技术博客 阿君分享,未经允许不得转载,同时希望分享给更多的站长和SEO朋友学习。

阿里云安全组怎么设置(规则策略)

阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。 很多朋友购买了阿里云服务器,安装了某些服务后发现死活连不上,也没有任何报错,最终发现原来是安全组的锅。如果你也有类似情况,不妨检查下安全组是否已经放行端口。 放行一个TCP端口 以阿里云国际版为例,阿里云国际版似乎没有经典网络,网卡都是内网IP,因此安全组也更加简化。在云服务器ECS管理-网络和安全-安全组-配置规则。 下图...

原创文章,作者:ajseo,如若转载,请注明出处:https://www.seoajun.net/jianzhan/hosting/2336.html

在线客服
在线客服

联系我们

13071972829

在线咨询:点击这里给我发消息

邮件:207985384@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code