1. 首页
  2. 网站优化

网站挂马排除方法,网站挂马怎么办?

网站被挂马是比较常见攻击方式,不少企业网站被挂马很长时间都没有发现,被挂马的花样很多。有的很容易发现,有的很难发现,比如搜索跳转,网站被挂马后,直接输入网址正常访问,发现不了任何异常,当你从百度、360、搜狗等搜索网站进入,点开缺不是自己的网站。那么下面我就向大家介绍下网站被挂马的表现形式和一些解决方案。

记一次网站被挂马原因排查分析流程。昨天一台服务器被挂马,幸好自己对服务器略有熟悉第一时间把隐藏在网站源码中的木马文件进行处理。相信站长SEO们在日常网站优化过程中经常会遇到网站被黑恶意劫持的问题。网站被挂马怎么处理,如何进行排查呢?

网站被挂马的常见表现:

1、在QQ上给人发网址时,会出现一个危险网站的提示;

2、查该网站的信息时,发现了异常:网站标题被篡改了。

3、网站打开报错,或跳转到别人的网站

4、打开网站突然错位了。

5、打开网站自动下载文件。

出现这样的情况,网站在相应的asp,htm,js等文件中被加入代码,插入以js调用方式。还有一种是服务器被入侵,在网站运行环境挂马。

a、选择一个专业检测工具,如木马清道夫;

b、google检测,网站制作完成后上传到服务器上,利用Google搜索网站程序站点进行检测;

c、杀毒软件检测,常用的杀毒软件也可以检测出来;

d、人工检测,打开我的网站程序站点,点击右键查看源文件,根据网页挂马的种类也可以查看是否中了木马。

1)服务器防御性非常重要

多数站长选择便宜的不可靠的服务器,这往往最容易被入侵攻击。廉价的服务器机房基本上不会开启安全防护功能,入侵者利用漏洞轻松可以进行提权操作。

我本人一直使用大厂的服务器产品,推荐使用阿里云、腾讯云、百度云等,相对来说比小厂有保障些。前些天我的一台阿里云服务器收到安全风险提示短信,第一时间登录阿里云后台,找到云盾系统消息提示发现后门webshell文件,如下图:

后门webshell文件

系统会提供具体的后门文件的路径位置,根据这些信息可以快速定位到网站程序中的PHP木马后门文件。如下图所示:

记一次网站被挂马的原因排查(附处理过程)

一般人还真不太好发现,藏的够深啊 ,还有很强的模仿能力。

这是第二个网页后门文件,命名跟其他图片一样,一般很难发现。下图所示

网页后门webshell文件

我进行了下载方便后面进一步的分析研究。建议立即删除php后门文件。

电脑杀毒软件也进行了查杀报毒
电脑杀毒软件也进行了查杀报毒

 

2)彻底清查整站程序源码

一般情况下当网站被黑恶意跳转,百分百中招应该做的就是针对网站进行彻底的清查。

具体方法,网站管理面板对站点进行打包下载,电脑本地使用网马查杀软件进行分析。

建议使用 D盾Web查杀(webshell查杀) 工具,如下图:

D盾webshell查杀软件
D盾webshell查杀软件

如果你对源码不了解,请联系你的网站开发人员或者是模板制作人员协助处理。(一般会收取费用)应该第一时间把隐藏的风险文件和后门程序进行剔除。(记得网站原始数据进行备份)

确定处理干净之后的源码重新传到网站主机当中,确保网站正确运行即可。

强化安全操作:

  • 修改网站后台密码的复杂性和长度;
  • 修改服务器管理面板的控制权限;
  • 修改FTP账号密码等信息;
  • 检查服务器的安全日志修补漏洞 ;
  • 购买服务器厂商的安全防护类产品等;

 

3)分析网站后门Wehshell文件

为了进行研究和学习,我特意把查杀出来的几个后门文件进行分析:如下图

WEBSHELL后门文件

打开其中PHP后门文件查看代码

webshell后门截图

 

为了大家方便查看,把PHP后门放到本地PHP环境中运行给大家看看后门程序的功能。

 

webshell截图

密码就是上图的红框标记出来的,进行MD5解密后得到admins

MD5解密操作

入侵者通过自己的后门PHP入口,可以轻松获得你服务器主机的各种权限和操作,如下图:

WEBSHELL后门演示图

吓出一身冷汗!!!

另外一个后门PHP文件登录后的界面和功能

WEBSHELL后门安全图

严重性就不多说了,网站的安全性多么重要啊。做为站长SEO人员一定要及时发现漏洞和后门,及时处理做好防护,后果不堪设想。

4)后续安全终极操作与防护

之前有写过一篇关于虚拟主机安全文章《网站被篡改劫持怎么修复》 有兴趣可以点击进行查看。

我自己使用的是服务器,管理环境面板是宝塔,安装相应的防火墙和系统加固功能来实现。

宝塔面板安全组件功能

提示,宝塔环境面板是目前服务器网站环境最好用的,建议新手服务器环境配置首选 宝塔BT面板

这里有关使用的文章 BT.CN宝塔面板环境安装流程(图文教程)新手请查看。

相关安全配置功能,在自己的宝塔面板中可以购买开启,有些功能需要购买付费。

AD:宝塔服务器面板,一键全能部署及管理,送你¥3188礼包,点我领取

(Nginx防火墙功能及配置图)

BT宝塔面板

(宝塔网站防篡改功能及配置图2)

BT宝塔面板2

(宝塔系统加固功能及配置图3)

BT宝塔面板3

站被挂马?在网站日常维护时注意一下几点?

1、平时多site一下自己不带3W的域名,看看有没有被人搞恶意泛解析;

2、多留心网站根目录是否有新的异常文章生成;

3、多用站长工具查查自己的友链。如果无缘无故地多出了一些链接,而并非自己加上的,百分之九十已经中招了;

4、多看看源码,很多低级挂码手段挂上的黑链之类的在源码中就能看出来;

5、站长工具里有一个叫死链检测的工具,对于检测隐藏链接来说非常有用,如果检测到了在源代码中看不到的链接,百分之九十九已经被人挂马了。

最后:关于一次服务器入侵后门网马的过程就分享这么多,切记一点,选择好的服务器,及时发现并监控网站安全,不要等到网站问题放大严重后果,百度惩罚流量下滑再处理就为时以晚了。

最最后,希望大家的网站都平安无事,稳定 ,排名节节高。

原创文章,作者:seo顾问,如若转载,请注明出处:http://www.yokseo.com/18.html

免责声明:部分文章信息来源于网络以及网友投稿,本网站只负责对文章进行整理、排版、编辑,其目的是出于传递更多知识、信息,但并不意味着赞同其观点或证实其内容的真实性,如本站文章和转稿涉及版权等问题,请作者在及时联系本站,我们会尽快和您对接处理。

发表评论

电子邮件地址不会被公开。

联系我们

186-88777-232

在线咨询:点击这里给我发消息

工作时间:周一至周五,9:30-18:30,节假日休息