最近,我前公司的網站telpo.cn被最新的木馬攻擊,接連發生了很多問題,網站經常斷斷續續地打開,然后流量被劫持,一時間排除問題才發現是被掛木馬了。
相信站長seoer們在日常網站優化過程中也會遇到網站被黑惡意劫持的問題。網站被掛馬怎么處理,如何進行排查呢?
本文結合自己的處理流程進行梳理并分享。
【服務器防御排查】
很多站長們選擇購買了便宜的不可靠的服務器,這往往最容易被入侵攻擊。廉價的服務器機房基本上不會開啟安全防護功能,入侵者利用漏洞輕松可以進行提權操作。
前公司一直使用大品牌的云服務器,推薦使用阿里云、騰訊云、百度云等,相對來說比亂七八糟的品牌有保障些。
前些天前公司的一臺阿里云服務器收到安全風險提示短信,第一時間登錄阿里云后臺,找到云盾系統消息提示發現后門webshell文件,如下圖:
系統會提供具體的后門文件的路徑位置,根據這些信息可以快速定位到網站程序中的php木馬后門文件。如下圖所示:
不懂代碼的站長們還真不太好發現,所以這時候需要公司PHP研發和信息化人員投入精力去排查一下。
這是第二個網頁后門文件,命名跟其他圖片一樣,一般很難發現。下圖所示
分析過后,進行了下載方便后面進一步的分析研究。建議立即刪除php后門文件。
服務器主機電腦殺毒軟件也進行了查殺報毒
【整站源代碼清查木馬】
一般情況下當網站被黑惡意跳轉或者被掛木馬打不開頁面,這時候應該做的就是針對網站進行徹底的清查。
大品牌服務器運營商在這時候就發揮他們的優勢,技術售后能力強,你在后臺提交工單,他們也會協助提供方案去解決問題。
具體方法,網站管理面板對站點進行打包下載,電腦本地使用網馬查殺軟件進行分析。
建議使用 D盾Web查殺(webshell查殺) 工具,如下圖:
D盾webshell查殺軟件
如果你對源碼不了解,請聯系你的網站開發人員或者是信息化研發人員協助處理。(網站公司那邊一般會收取維護費)應該第一時間把隱藏的風險文件和后門程序進行剔除。
(必須記得對網站原始數據進行備份)
確定把木馬處理干凈之后的源碼重新傳到網站主機當中,確保網站正確運行即可。
另外,強化安全操作:
1、修改網站后臺密碼的復雜性和長度;
2、修改服務器管理面板的控制權限;
3、修改FTP賬號密碼等信息;
4、檢查服務器的安全日志修補漏洞 ;
5、購買服務器廠商的安全防護類產品等;
【事后分析木馬被掛原因】
為了進行研究和學習,在SEO群里拿出事件的始末來討論分析原因,才知道是Phpstudy的后門文件出現了狀況(文章帖子:https://www.52pojie.cn/thread-1028079-1-1.html?from=groupmessage)。
因此,特意把查殺出來的幾個后門文件進行分析,如下圖:
打開其中一個PHP后門文件來查看代碼:
為了大家方便查看,把PHP后門放到本地PHP環境中運行給大家看看后門程序的功能。
密碼就是上圖的紅框標記出來的,進行MD5解密后得到admins
入侵者通過自己的PHP后門入口,在你無感知的狀態下,可以輕松獲得你服務器主機的各種權限和操作,如下圖:
另外一個后門PHP文件登錄后的界面和功能
這些行為嚴重侵害了人民群眾的合法權益,甚至危害國家安全。做為站長SEO人員一定要及時發現漏洞和后門,及時處理做好防護,懂得跟技術人員溝通問題,運用資源去找到最優解決方案,否則后果將不堪設想。
最后:切記一點,選擇大品牌的服務器,及時發現并監控網站安全,不要等到網站問題放大嚴重后果,百度懲罰流量下滑再去處理就已經晚了。
品牌簡介:L氪跡|佛山SEO實戰技術-免費SEO教程學習網站
本站文章由SEO技術教程學習網發布,作者:L氪跡,如若轉載請注明原文及網址
