安基网 首页 安全 攻防案例 查看内容

如何解决最新PHPstudy”后门事件”网站被挂木马(附上处理过程)

2019-10-17 09:06| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 最近,我前公司的网站telpo.cn被最新的木马攻击,接连发生了很多问题,网站经常断断续续地打开,然后流量被劫持,一时间排除问题才发现是被挂木马了。相信站长SEOer们在日常网站优化过程中也会遇到网站被黑恶意劫持的问题。网站被挂马怎么处理,如何进行排查呢?本文结合自己的处理流程进行梳理并分享 ...

最近,我前公司的网站telpo.cn被最新的木马攻击,接连发生了很多问题,网站经常断断续续地打开,然后流量被劫持,一时间排除问题才发现是被挂木马了。

相信站长SEOer们在日常网站优化过程中也会遇到网站被黑恶意劫持的问题。网站被挂马怎么处理,如何进行排查呢?

本文结合自己的处理流程进行梳理并分享。

【服务器防御排查】

很多站长们选择购买了便宜的不可靠的服务器,这往往最容易被入侵攻击。廉价的服务器机房基本上不会开启安全防护功能,入侵者利用漏洞轻松可以进行提权操作。

前公司一直使用大品牌的云服务器,推荐使用阿里云、腾讯云、百度云等,相对来说比乱七八糟的品牌有保障些。

前些天前公司的一台阿里云服务器收到安全风险提示短信,第一时间登录阿里云后台,找到云盾系统消息提示发现后门webshell文件,如下图:

系统会提供具体的后门文件的路径位置,根据这些信息可以快速定位到网站程序中的PHP木马后门文件。如下图所示:

不懂代码的站长们还真不太好发现,所以这时候需要公司PHP研发和信息化人员投入精力去排查一下。

这是第二个网页后门文件,命名跟其他图片一样,一般很难发现。下图所示

分析过后,进行了下载方便后面进一步的分析研究。建议立即删除php后门文件。

服务器主机电脑杀毒软件也进行了查杀报毒

【整站源代码清查木马】

一般情况下当网站被黑恶意跳转或者被挂木马打不开页面,这时候应该做的就是针对网站进行彻底的清查。

大品牌服务器运营商在这时候就发挥他们的优势,技术售后能力强,你在后台提交工单,他们也会协助提供方案去解决问题。

具体方法,网站管理面板对站点进行打包下载,电脑本地使用网马查杀软件进行分析。

建议使用 D盾Web查杀(webshell查杀) 工具,如下图:

D盾webshell查杀软件

如果你对源码不了解,请联系你的网站开发人员或者是信息化研发人员协助处理。(网站公司那边一般会收取维护费)应该第一时间把隐藏的风险文件和后门程序进行剔除。

(必须记得对网站原始数据进行备份)

确定把木马处理干净之后的源码重新传到网站主机当中,确保网站正确运行即可。

另外,强化安全操作:

1、修改网站后台密码的复杂性和长度;

2、修改服务器管理面板的控制权限;

3、修改FTP账号密码等信息;

4、检查服务器的安全日志修补漏洞 ;

5、购买服务器厂商的安全防护类产品等;

【事后分析木马被挂原因】

为了进行研究和学习,在SEO群里拿出事件的始末来讨论分析原因,才知道是Phpstudy的后门文件出现了状况(文章帖子:https://www.52pojie.cn/thread-1028079-1-1.html?from=groupmessage)。

因此,特意把查杀出来的几个后门文件进行分析,如下图:

打开其中一个PHP后门文件来查看代码:

为了大家方便查看,把PHP后门放到本地PHP环境中运行给大家看看后门程序的功能。

密码就是上图的红框标记出来的,进行MD5解密后得到admins

入侵者通过自己的PHP后门入口,在你无感知的状态下,可以轻松获得你服务器主机的各种权限和操作,如下图:

另外一个后门PHP文件登录后的界面和功能

这些行为严重侵害了人民群众的合法权益,甚至危害国家安全。做为站长SEO人员一定要及时发现漏洞和后门,及时处理做好防护,懂得跟技术人员沟通问题,运用资源去找到最优解决方案,否则后果将不堪设想。

最后:切记一点,选择大品牌的服务器,及时发现并监控网站安全,不要等到网站问题放大严重后果,百度惩罚流量下滑再去处理就已经晚了。


品牌简介:L氪迹|佛山SEO实战技术-免费SEO教程学习网站

本站文章由SEO技术教程学习网发布,作者:L氪迹,如若转载请注明原文及网址



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6748227160302961156/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部