當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

阿里云網(wǎng)站發(fā)現(xiàn)后門(mén)該怎么處理

 2019-03-12 17:21  來(lái)源: A5用戶(hù)投稿   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

收到阿里云的短信提醒說(shuō)是網(wǎng)站存在后門(mén),webshell惡意通信行為,緊急的安全情況,我第一時(shí)間登錄阿里云查看詳情,點(diǎn)開(kāi)云盾動(dòng)態(tài)感知,查看了網(wǎng)站木馬的詳細(xì)路徑以及webshell的特征,網(wǎng)站從來(lái)沒(méi)有出現(xiàn)過(guò)這種情況,一臉懵逼,無(wú)奈詢(xún)問(wèn)度娘吧,百度搜索了什么是webshell,為了解決這個(gè)問(wèn)題,我可是下了很大的功夫,終于了解清楚并解決了阿里云提示網(wǎng)站后門(mén)的這個(gè)問(wèn)題,記錄一下我解決問(wèn)題的過(guò)程。

首先我們要知道什么是網(wǎng)站后門(mén)? (也叫webshell)

網(wǎng)站后門(mén),是植入到網(wǎng)站目錄下以及服務(wù)器路徑里的一個(gè)網(wǎng)站木馬,主要利用網(wǎng)站代碼的腳本語(yǔ)言來(lái)進(jìn)行后門(mén)的運(yùn)行,像asp,aspx,php,jsp語(yǔ)言的腳本文件格式,都是可以在網(wǎng)站里以后門(mén)的運(yùn)行。很多強(qiáng)大的webshell,加密免殺性較好,很多安全軟件查殺不出來(lái)的,有些可以過(guò)WAF網(wǎng)站防火墻的追查,利用網(wǎng)站漏洞上傳后門(mén)的時(shí)候,可以繞過(guò)并直接上傳到網(wǎng)站目錄下,服務(wù)器里的殺毒軟件根本沒(méi)有察覺(jué)。

網(wǎng)站后門(mén)使用的都是網(wǎng)站的80端口來(lái)進(jìn)行訪問(wèn),利用腳本語(yǔ)言的便利性來(lái)進(jìn)行編寫(xiě)后門(mén)代碼,一個(gè)完整的后門(mén)通常都帶有主動(dòng)連接的一個(gè)代碼,可以對(duì)網(wǎng)站進(jìn)行上傳,下載,修改,新建目錄,執(zhí)行系統(tǒng)命令,更改文件名稱(chēng)等管理員的操作。

從上面我們可以大體的了解什么是網(wǎng)站后門(mén)了,那怎么查找呢?

首先我們看網(wǎng)站代碼的修改時(shí)間,一般網(wǎng)站代碼文件的時(shí)間都是差不多的,突然有幾個(gè)文件從最后修改時(shí)間上看可以看到日期是最近幾天修改的,那說(shuō)明這個(gè)文件很有可能被植入后門(mén)代碼,點(diǎn)開(kāi)代碼文件看一下最后幾行有沒(méi)有特殊的加密代碼。

阿里云的后臺(tái)也會(huì)顯示出網(wǎng)站木馬的路徑,可以根據(jù)阿里云后臺(tái)的顯示進(jìn)行刪除與隔離,但是網(wǎng)站后門(mén)是如何被上傳的,這個(gè)要搞清楚原因,一般是網(wǎng)站存在漏洞,以及服務(wù)器安全沒(méi)有做好導(dǎo)致的被上傳的,如果網(wǎng)站漏洞沒(méi)有修復(fù)好,還是會(huì)繼續(xù)被上傳后門(mén)的,網(wǎng)站的漏洞修復(fù),可以對(duì)比程序系統(tǒng)的版本進(jìn)行升級(jí),也可以找程序員進(jìn)行修復(fù),如果是你自己寫(xiě)的網(wǎng)站熟悉還好,不是自己寫(xiě)的,建議找專(zhuān)業(yè)的網(wǎng)站安全公司來(lái)處理解決網(wǎng)站后門(mén)的問(wèn)題,像Sine安全,綠盟,啟明星辰那些專(zhuān)門(mén)做網(wǎng)站安全防護(hù)的安全公司幫忙處理。

再一個(gè)我們對(duì)每個(gè)代碼文件進(jìn)行查看,搜索含有eval的特征碼,以及POST{}、execute(request,等等的特征碼,如果代碼里含有,那基本上就可以判定是網(wǎng)站后門(mén)了。對(duì)比之前網(wǎng)站的備份,查看有沒(méi)有被篡改的代碼文件,如果有的話,請(qǐng)刪除多余添加的代碼。最后一種查找網(wǎng)站后門(mén)的方式就是看網(wǎng)站的訪問(wèn)日志,每個(gè)網(wǎng)站都有日志的,可以聯(lián)系服務(wù)器商,主機(jī)商要求他們提供最近一段時(shí)間的網(wǎng)站日志,通過(guò)日志,我們可以查到一些非法的訪問(wèn),尤其一些我們不熟悉的訪問(wèn)地址,一般攻擊者都會(huì)訪問(wèn)以下自己設(shè)置的后門(mén),通過(guò)日志就可以查到蛛絲馬跡。本文來(lái)源www.sinesafe.com

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)站安全
后門(mén)

相關(guān)文章

熱門(mén)排行

信息推薦