网站被挂马后处理过程 附原因排查

<p>记一次网站被挂马原因排查分析流程。昨天一台服务器被挂马，幸好自己对服务器略有熟悉第一时间把隐藏在网站源码中的木马文件进行处理。相信站长SEO们在日常网站优化过程中经常会遇到网站被黑恶意劫持的问题。网站被挂马怎么处理，如何进行排查呢？</p><p>本文结合自己的处理流程进行梳理并分享。</p><h2>1）服务器防御性非常重要</h2><p>多数站长选择便宜的不可靠的服务器，这往往最容易被入侵攻击。廉价的服务器机房基本上不会开启安全防护功能，入侵者利用漏洞轻松可以进行提权操作。</p><p>我本人一直使用大厂的服务器产品，推荐使用阿里云、腾讯云、百度云等，相对来说比小厂有保障些。前些天我的一台阿里云服务器收到安全风险提示短信，第一时间登录阿里云后台，找到云盾系统消息提示发现后门webshell文件，如下图：</p><p><a href="https://www.ainiSEO.com/wp-content/uploads/2019/10/20191011154304.png" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a></p><p>系统会提供具体的后门文件的路径位置，根据这些信息可以快速定位到网站程序中的PHP木马后门文件。如下图所示：</p><p><a href="https://www.ainiseo.com/wp-content/uploads/2019/10/20191011154158.png" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a></p><p>一般人还真不太好发现，藏的够深啊 ，还有很强的模仿能力。</p><p>这是第二个网页后门文件，命名跟其他图片一样，一般很难发现。下图所示</p><p><a href="https://www.ainiseo.com/wp-content/uploads/2019/10/20191011154526.png" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a></p><p>我进行了下载方便后面进一步的分析研究。建议立即删除php后门文件。</p><a href="https://www.ainiseo.com/wp-content/uploads/2019/10/20191011154511.png" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a>电脑杀毒软件也进行了查杀报毒<p> </p><h2>2）彻底清查整站程序源码</h2><p>一般情况下当网站被黑恶意跳转，百分百中招应该做的就是针对网站进行彻底的清查。</p><p>具体方法，网站管理面板对站点进行打包下载，电脑本地使用网马查杀软件进行分析。</p><p>建议使用 <a href="https://www.ainiseo.com/download/4249.html" target="_blank" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow">D盾Web查杀(webshell查杀) </a>工具，如下图：</p><a href="https://www.ainiseo.com/wp-content/uploads/2019/01/226_8.jpg" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a>D盾webshell查杀软件<p>如果你对源码不了解，请联系你的网站开发人员或者是模板制作人员协助处理。（一般会收取费用）应该第一时间把隐藏的风险文件和后门程序进行剔除。（记得网站原始数据进行备份）</p><p>确定处理干净之后的源码重新传到网站主机当中，确保网站正确运行即可。</p><p>强化安全操作：</p><ul><li>修改网站后台密码的复杂性和长度；</li><li>修改服务器管理面板的控制权限；</li><li>修改FTP账号密码等信息；</li><li>检查服务器的安全日志修补漏洞 ；</li><li>购买服务器厂商的安全防护类产品等；</li></ul><p> </p><h2>3）分析网站后门Wehshell文件</h2><p>为了进行研究和学习，我特意把查杀出来的几个后门文件进行分析：如下图</p><p><a href="https://www.ainiseo.com/wp-content/uploads/2019/10/wehshell_20191012150914.png" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a></p><p>打开其中PHP后门文件查看代码</p><p><a href="https://www.ainiseo.com/wp-content/uploads/2019/10/webshell4.png" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a></p><p> </p><p>为了大家方便查看，把PHP后门放到本地PHP环境中运行给大家看看后门程序的功能。</p><p> </p><p><a href="https://www.ainiseo.com/wp-content/uploads/2019/10/webshell5.png" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a></p><p>密码就是上图的红框标记出来的，进行MD5解密后得到admins</p><p><a href="https://www.ainiseo.com/wp-content/uploads/2019/10/MD51.png" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a></p><p>入侵者通过自己的后门PHP入口，可以轻松获得你服务器主机的各种权限和操作，如下图：</p><p><a href="https://www.ainiseo.com/wp-content/uploads/2019/10/WEBSHELL-666.gif" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a></p><p>吓出一身冷汗！！！</p><p>另外一个后门PHP文件登录后的界面和功能</p><p><a href="https://www.ainiseo.com/wp-content/uploads/2019/10/20191012152124.png" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a></p><p>严重性就不多说了，网站的安全性多么重要啊。做为站长SEO人员一定要及时发现漏洞和后门，及时处理做好防护，后果不堪设想。</p><h2>4）后续安全终极操作与防护</h2><p>之前有写过一篇关于虚拟主机安全文章《<a href="https://www.ainiseo.com/jianzhan/hosting/3018.html" target="_blank" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow">网站被篡改劫持怎么修复</a>》 有兴趣可以点击进行查看。</p><p>我自己使用的是服务器，管理环境面板是宝塔，安装相应的防火墙和系统加固功能来实现。</p><p><a href="https://www.ainiseo.com/wp-content/uploads/2019/10/bt_anquan.png" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a></p><p>提示，宝塔环境面板是目前服务器网站环境最好用的，建议新手服务器环境配置首选 <a href="https://www.bt.cn/?invite_code=MV96bWhqcWI=" target="_blank" data-url="www.bt.cn" class="show-5118-data" rel="nofollow">宝塔BT面板</a>。</p><p>这里有关使用的文章 <a href="https://www.ainiseo.com/jianzhan/hosting/5223.html" target="_blank" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow">BT.CN宝塔面板环境安装流程（图文教程）</a>新手请查看。</p><p>相关安全配置功能，在自己的宝塔面板中可以购买开启，有些功能需要购买付费。</p><blockquote>AD：宝塔服务器面板，一键全能部署及管理，送你￥3188礼包，点我领取</blockquote><p>(Nginx防火墙功能及配置图)</p><p><a href="https://www.ainiseo.com/wp-content/uploads/2019/10/20191012153055.png" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a></p><p>(宝塔网站防篡改功能及配置图2)</p><p><a href="https://www.ainiseo.com/wp-content/uploads/2019/10/20191012153031.png" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a></p><p>(宝塔系统加固功能及配置图3)</p><p><a href="https://www.ainiseo.com/wp-content/uploads/2019/10/20191012152954.png" data-url="www.ainiseo.com" class="show-5118-data" rel="nofollow" target="_blank"></a></p><p>跟我关系好的朋友，或者我的徒弟可以私信我，帮你安装宝塔面板或者商业版本。另外，你有解决服务器安全和网站挂马问题处理需求，都可以咨询我付费解决。QQ3002015859</p><p> </p><p>最后：关于一次服务器入侵后门网马的过程就分享这么多，切记一点，选择好的服务器，及时发现并监控网站安全，不要等到网站问题放大严重后果，百度惩罚流量下滑再处理就为时以晚了。</p><p></p><p>最最后，希望大家的网站都平安无事，稳定 ，排名节节高。</p>